CVE-2019-11231

GetSimpleCMS - Unauthenticated Remote Code Execution

Severity Score

9.8

*CVSS v3

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

*Multiple Sources

Exploited in Wild

*KEV

Decision

*SSVC

Descriptions

An issue was discovered in GetSimple CMS through 3.3.15. insufficient input sanitation in the theme-edit.php file allows upload of files with arbitrary content (PHP code, for example). This vulnerability is triggered by an authenticated user; however, authentication can be bypassed. According to the official documentation for installation step 10, an admin is required to upload all the files, including the .htaccess files, and run a health check. However, what is overlooked is that the Apache HTTP Server by default no longer enables the AllowOverride directive, leading to data/users/admin.xml password exposure. The passwords are hashed but this can be bypassed by starting with the data/other/authorization.xml API key. This allows one to target the session state, since they decided to roll their own implementation. The cookie_name is crafted information that can be leaked from the frontend (site name and version). If a someone leaks the API key and the admin username, then they can bypass authentication. To do so, they need to supply a cookie based on an SHA-1 computation of this known information. The vulnerability exists in the admin/theme-edit.php file. This file checks for forms submissions via POST requests, and for the csrf nonce. If the nonce sent is correct, then the file provided by the user is uploaded. There is a path traversal allowing write access outside the jailed themes directory root. Exploiting the traversal is not necessary because the .htaccess file is ignored. A contributing factor is that there isn't another check on the extension before saving the file, with the assumption that the parameter content is safe. This allows the creation of web accessible and executable files with arbitrary content.

Se descubrió un problema en GetSimple CMS hasta 3.3.15. El saneamiento de entrada insuficiente en el archivo theme-edit.php permite cargar archivos con contenido arbitrario (código PHP, por ejemplo). Esta vulnerabilidad es activada por un usuario autenticado; sin embargo, la autenticación puede ser anulada. De acuerdo con la documentación oficial para el paso de instalación 10, se requiere que un administrador cargue todos los archivos, incluidos los archivos .htaccess, y realice una comprobación de estado. Sin embargo, lo que se pasa por alto es que el servidor HTTP Apache de forma predeterminada ya no habilita la directiva AllowOverride, lo que lleva a la exposición de datos / users / admin.xml a la contraseña. Las contraseñas están en hash, pero esto se puede omitir comenzando con la clave de API data / other / permission.xml. Esto permite orientar el estado de la sesión, ya que decidieron rodar su propia implementación. La cookie_name es información elaborada que se puede filtrar desde el frontend (nombre y versión del sitio). Si alguien pierde la clave de la API y el nombre de usuario del administrador, entonces puede omitir la autenticación. Para hacerlo, deben proporcionar una cookie basada en un cálculo SHA-1 de esta información conocida. La vulnerabilidad existe en el archivo admin / theme-edit.php. Este archivo comprueba los envíos de formularios mediante solicitudes POST y para el csrf nonce. Si el nonce enviado es correcto, entonces se carga el archivo proporcionado por el usuario. Hay un recorrido de ruta que permite el acceso de escritura fuera de la raíz del directorio de temas enjaulados. Su explotación del recorrido no es necesaria porque el archivo .htaccess se ignora. Un factor que contribuye es que no hay otra verificación en la extensión antes de guardar el archivo, asumiendo que el contenido del parámetro es seguro. Esto permite la creación de archivos web accesibles y ejecutables con contenido arbitrario.

*Credits: N/A

Attack Vector

Network

Attack Complexity

Low

Privileges Required

None

User Interaction

None

Scope

Unchanged

Confidentiality

High

Integrity

High

Availability

High

Attack Vector

Network

Attack Complexity

Low

Authentication

None

Confidentiality

Partial

Integrity

None

Availability

None

* Common Vulnerability Scoring System

SSVC

Decision:-

Exploitation

Automatable

Tech. Impact

* Organization's Worst-case Scenario

Timeline

2019-04-14 CVE Reserved
2019-05-16 CVE Published
2019-05-20 First Exploit
2024-08-04 CVE Updated
2024-10-12 EPSS Updated
---------- Exploited in Wild
---------- KEV Due Date

CWE

CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

CAPEC

References (4)

URL	Tag	Source
https://ssd-disclosure.com/archives/3899/ssd-advisory-getcms-unauthenticated-remote-code-execution

URL	Date	SRC
https://www.exploit-db.com/exploits/46880	2019-05-20
http://packetstormsecurity.com/files/152961/GetSimpleCMS-3.3.15-Remote-Code-Execution.html	2024-08-04
https://ssd-disclosure.com/?p=3899&preview=true	2024-08-04

URL	Date	SRC

URL	Date	SRC

Affected Vendors, Products, and Versions

Vendor		Product				Version		Other		Status
Vendor	Product	Version	Other	Status	<-- -->	Vendor	Product	Version	Other	Status
Get-simple Search vendor "Get-simple"		Getsimple Cms Search vendor "Get-simple" for product "Getsimple Cms"				<= 3.3.15 Search vendor "Get-simple" for product "Getsimple Cms" and version " <= 3.3.15"		-		Affected