Microweber CMS严重漏洞可致管理员密码泄露

　　基于 PHP 的开源内容管理系统（CMS）Microweber 中存在一个严重的安全漏洞，泄露容易破解的管理员凭据和大量其他的用户信息。

　　用于访问该 CMS 的密码采用 bcrypt 进行哈希加密，但是“这些哈希在默认的配置中可被 Hashcat 破解，导致攻击者可获取管理员密码”，Rhino Security Labs 的渗透测试人员 Hunter Stanton 说到。

　　在 Microweber 背后的团队修复该漏洞后，建议 web 管理员尽快更新他们的 Micorweber builds。

　　自 2015 年启动以来，Microweber 已被下载超过 71 000 次。

　　Stanton 解释称，该 pre-auth 漏洞（CVE-2020-13405）存在于 controller.php 脚本中，Microweber 开发人员说该脚本是从早期 Microweber 开发留下的。

　　该脚本在用户数据库上运行 Laravel 的‘dump and die’函数，在停止执行该脚本之前，该函数将整个 PHP 变量的内容打印出来给 HTML，该名研究人员在一篇博文中解释道。

　　攻击者可通过向/modules/终端发送 POST 请求 module=/modules/users/controller 未经身份认证利用该漏洞。

　　该请求会执行 controller.php 脚本，在响应中生成整个用户数据库。

　　Web 管理员使用 PHP 脚本，通过插入自己的脚本或修改已有的脚本，自定义该 CMS。

　　他们可以使用现成的模块或编写自己的模块，执行嵌入 Tweets 或添加搜索工具等功能。

　　Rhino Security Labs 于 4 月 27 日向 Microweber 披露了该漏洞。

　　该项目的维护人员于 5 月 22 日确认了该漏洞，并在 6 月 22 日发布了 Microweber 1.1.20 版本，该版本从源代码中移除了 controller.php。

　　—————————

　　本文源自 Port Swigger；转载请注明出处。