XSS Vulnerability in IFrame Code in phpBB2 Plus 1.5x

Administrator Anmeldungsdatum: 01.08.2002 Beiträge: 4735 Wohnort: Aachen

We have recieved a security report about a vulnerability in the IFrame BBCode [web][/web] used in the phpBB Plus 1.5.x BBCode Box. Due to this it is possible to execute Scripts during a logged in User-Session. Then an attacker has the possibility to run bad Scripts or Links with your Account. It is also possible to do Phishing with this leck (Redirects into the IFrame). Since there is no 100% Bugfix for this hole we have decided to remove the [web] BBCode completely out of phpBB2 Plus 1.5x. To be secure again you must also remove this BBCode immediately from your Forum now:

This are the Codechanges:

Code:

#
#-----[ OPEN ]------------------------------------------
#
bbcode_box/add_bbcode.js

#
#-----[ FIND AND DELETE]------------------------------------------
#
web_help="Insert Web Page into the post : [web]Page URL[/web]";

#
#-----[ FIND AND DELETE]------------------------------------------
#
var web = 0;

#
#-----[ FIND AND DELETE]------------------------------------------
#
function BBCweb() {
var FoundErrors = '';
var enterURL = prompt("Please enter page URL","http://");
if (!enterURL) {
FoundErrors += "You didn't write the page URL";
}
if (FoundErrors) {
alert("Error :"+FoundErrors);
return;
}
var ToAdd = "[web]"+enterURL+"[/web]";
document.post.message.value+=ToAdd;
document.post.message.focus();
}

#
#-----[ OPEN ]------------------------------------------
#
includes/bbcode.php

#
#-----[ FIND AND DELETE]------------------------------------------
#
$bbcode_tpl['web'] = str_replace('{URL}', '\\1', $bbcode_tpl['web']);

#
#-----[ FIND AND DELETE]------------------------------------------
#
//web
$patterns[] = "#\[web:$uid\](.*?)\[/web:$uid\]#si";
$replacements[] = $bbcode_tpl['web'];

#
#-----[ FIND AND DELETE]------------------------------------------
#
// [web]and[/web]
$text = preg_replace("#\[web\](http(s)?://)([a-z0-9\-\.,\?!%\*_\#:;~\\&$@\/=\+]+)\[/web\]#si", "[web:$uid]\\1\\3[/web:$uid]", $text);

#
#-----[ OPEN ]------------------------------------------
#
templates/fisubsilversh/bbcode.tpl

#
#-----[ FIND AND DELETE]------------------------------------------
#
<iframe width="100%" height="350" src="{URL}"></iframe>

#
#-----[ OPEN ]------------------------------------------
#
templates/fisubsilversh/posting_body.tpl

#
#-----[ FIND ]------------------------------------------
#
<img border="0" src="bbcode_box/images/url.gif" width="24" height="20" name="url" type="image" onClick="BBCurl()" onMouseOver="helpline('url')" style="border-style: outset; border-width: 1" alt="URL"><img border="0" src="bbcode_box/images/email.gif" width="24" height="20" name="email" type="image" onClick="BBCmail()" onMouseOver="helpline('mail')" style="border-style: outset; border-width: 1" alt="Email"><img border="0" src="bbcode_box/images/web.gif" width="24" height="20" name="web" type="image" onClick="BBCweb()" onMouseOver="helpline('web')" style="border-style: outset; border-width: 1" alt="Wep Page">  

#
#-----[ REPLACE WITH ]------------------------------------------
#
<img border="0" src="bbcode_box/images/url.gif" width="24" height="20" name="url" type="image" onClick="BBCurl()" onMouseOver="helpline('url')" style="border-style: outset; border-width: 1" alt="URL"><img border="0" src="bbcode_box/images/email.gif" width="24" height="20" name="email" type="image" onClick="BBCmail()" onMouseOver="helpline('mail')" style="border-style: outset; border-width: 1" alt="Email">

Mail an Admin · Support Team Member Anmeldungsdatum: 26.11.2004 Beiträge: 1218

Aua, harter Schlag da ich den BB-Code recht häufig einsetze Sad

Gibts Aussichten auf eine Alternative oder einen Bugfix oder steht schon fest dass da wirklich nichts zu machen ist?

Danke jedenfalls für den Hinweis, da in letzter Zeit sehr viele Boards gecrackt wurden/werden, darunter auch so manches 2.0.17, muss man ja jetzt besonders auf Sicherheit achten Smile

Habe mittlerweile eine Backupfrequenz von 3 Stunden für die DB und so wie es aussieht werde ich in Zukunft bei jedem Modeinbau auch ein komplettes Backup der Dateien machen.

greetz

phpBB2.de User Anmeldungsdatum: 06.09.2005 Beiträge: 35

How can we test it ?

Hi,

der fix ist von mir, daher hab ich mich intensiv mit diesem Problemchen auseinandergesetzt. Gibt leider keine Alternative, da IFrame natürlich alles gestattet was sich dahinter befindet. Man kann ja nicht kontrollieren was auf der Verlinkten URL passiert. So kann jedes PHP oder JavaSkript dort ausgeführt werden. Mit Iframe eingebunden kanns dann im Forum wirken, da u.a. der Browser Seiten mit IFrame ja als eine Einheit ansieht. Ausbau ist hier die einzige Methode.

phpBB2.de User Anmeldungsdatum: 29.02.2004 Beiträge: 165

der fix wird doch bestimmt in phpBB Plus 1.53 vorhanden sein?
schönen gruß und danke, CyborgMax

Mail an Admin · Support Team Member Anmeldungsdatum: 26.11.2004 Beiträge: 1218

Hmm, wäre es nicht möglich eine Überprüfung durch den Admin einzubauen bzw die Verwendung des Codes auf eine Gruppe zu beschränken?
Dann währe das Risiko äußerst gering, ein Angreifer müsste zuerst die eingebundene Seite knacken um dort seinen Code zu platzieren und der Aufwand lohnt sich wohl bei normalen Community nicht Smile

Nein, die möglichen Risiken sind zu gravierend. Wink

Und @knacken:

Er muss nur ein Dokument irgendwo hochladen (funpic?) und dann darauf posten. Ist der Parser nur auf bestimmte User geschaltet sieht der User selber zwar nur [web][/web] aber sobald der Admin kommt wird geparst und zack. Ziel erreicht.

phpBB2.de User Anmeldungsdatum: 06.09.2005 Beiträge: 35

Smoething in English please ? ... thanks Wink

Mail an Admin · Support Team Member Anmeldungsdatum: 26.11.2004 Beiträge: 1218

cback hat folgendes geschrieben:

Nein, die möglichen Risiken sind zu gravierend. Wink

Und @knacken:

Er muss nur ein Dokument irgendwo hochladen (funpic?) und dann darauf posten. Ist der Parser nur auf bestimmte User geschaltet sieht der User selber zwar nur [web][/web] aber sobald der Admin kommt wird geparst und zack. Ziel erreicht.

Dann müsste eben der Userlevel des Posters und nicht der des Betrachters überprüft werden.
Egal, mal was anderes.
Wenn ich ein Werbe-Iframe verwende kann das prizipiell ja genau so gefährlich sein, oder?
Man stelle sich vor wieviele Seiten die Verseuchung eines Bannertausches oder ähnlichem betreffen würde... Horror!

Ach, ne idee hätt ich schon, könnte man das Ganze nicht einfach zu nem PopUp verwandeln?

@JTF-2Chief: I had the idea to limit [web][/web] to a group or/and the admin only.
But as cback correctly said, if the admin or a member of that group reads a post that has a [web][/web] in it, it'll be parsed anyway Sad

Next idea is a popup instead of inlineframes Smile

phpBB2.de User Anmeldungsdatum: 06.09.2005 Beiträge: 35

Ty ... I will wait next...

Can I ask you something ? I have post some with no answer... can you look at it please ? I feel alone with my problem lol

http://www.phpbb2.de/search.php?search_author=JTF-2Chief

Thanks a lot...

phpBB2.de User Anmeldungsdatum: 12.07.2004 Beiträge: 129 Wohnort: Denmark

Why no Newsletter about this?

phpBB2.de User Anmeldungsdatum: 05.01.2005 Beiträge: 81

omg, das muss ja auch in allen styles umgeschrieben werden... arm der, der alle styles zur verfügung stellen möchte

EDIT:
sagt mal, is das bei der version, die gestern zum dload bereit stand, drinne? denn ich finde nichts mehr von dem zeugst...

Mail an Admin · Support Team Member Anmeldungsdatum: 26.11.2004 Beiträge: 1218

shadow4m hat folgendes geschrieben:

EDIT:
sagt mal, is das bei der version, die gestern zum dload bereit stand, drinne? denn ich finde nichts mehr von dem zeugst...

Davon kannst du eigentlich ausgehen, stefan wird die gefixte Version wahrscheinlich noch vor dem Verfassen des Beitrags hochgeladen haben Smile

Administrator Anmeldungsdatum: 24.03.2004 Beiträge: 4255

morpha hat folgendes geschrieben:

Ach, ne idee hätt ich schon, könnte man das Ganze nicht einfach zu nem PopUp verwandeln?

würde nichts am problem ändern, einzige option währe nen link draus zu machen
http://www.phpbb2.de/viewtopic.php?p=171930#171930

phpBB2.de User Anmeldungsdatum: 05.10.2004 Beiträge: 380 Wohnort: Büro

is das nun in der neuesten downloadversion vom full package plus 2.0.17 schon drinnen oder ned?

das datum ist ja schon ein wenig älter?????????

zuletzt aktualisiert am Do 21 Jul, 2005 13:29 ?

pls um info...
lg
gaby