Voila qui est peu courant, autant de sites potentiellement devenu dangereux à cause d’une alerte de sécurité présente dans Swfupload, un petit plugin Flash et JavaScript utilisé pour uploader des médias. Des milliers (voir millions ?) de sites sont devenus de potentiels pièges et relais pour des attaques de type Cross Site Scripting.
Des exemple de produits touchés ? Ils sont très nombreux : TinyMCE, WordPress, SPIP, Radiant CMS, AionWeb, Liferay Portal, SurgeMail, Dotclear, InstantCMS, Dolphin, Drupal, XenForo, Codeigniter, SentinelleOnAir, TYPO3 CMS, etc. Même Symfony est touché par cette vulnérabilité via son plugin sfSWFUploadPlugin !
En gros, quasiment tous les CMS sont touchés, directement ou indirectement par la faille.L’étendue de l’alerte risque de créer un engouement particulier pour les pirates souhaitant profiter de l’occasion afin de mettre en place des systèmes malveillants basé sur le JavaScript entre plusieurs sites afin de faire du phishing de grande envergure ou encore d’infecter un maximum de machines.
Il faudra être particulièrement prudent concernant les URLs et les fichiers swfupload_f8.swf, swfupload_f9.swf et swfupload_f10.swf. Le PoC diffusé est sous la forme : swfupload_f[xxx].swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
La dernière version disponible sur le site officiel est vulnérable, UnderNews vous a d’ailleurs concocté une petite démo ici, basée sur l’espace de démonstration du plugin (http://demo.swfupload.org).
Il est très facile de répertorier ces fichiers via des Google Dorks…
Drupal