[Security] Command injection vulnerability

[eldstal]

Security advisory

Multiple command injection vulnerabilities exist in openWB version 1.7 and older. Each allows an unauthenticated user to execute arbitrary OS commands on the host. In the default configuration of openWB, commands can be executed with root privileges.

Affected products

Introduced in openWB version 1.6 (commit b5d545c)
Still present in version 1.7 (commit 5c44516)

Steps to reproduce

1. Visit http://target/openWB/modules/soc_eq/callback_lp.php?code=1&state=;uptime>/tmp/hax;echo
2. Observe that the file /tmp/hax has been created on the server, containing the output of uptime.

Cause

Unsanitized user input is passed to system() at callback_lp.php:4. An attacker can add semicolons to terminate the intended command and inject arbitrary commands.

The same vulnerability is present in these two locations:

openWB/modules/soc_eq/callback_lp1.php

Line 4 in 5c44516

system( "/var/www/html/openWB/modules/soc_eq/auth.py 1 " . $_GET['code']) ;

openWB/modules/soc_eq/callback_lp2.php

Line 4 in 5c44516

system( "/var/www/html/openWB/modules/soc_eq/auth.py 2 " . $_GET['code']) ;

Impact

An unauthorized user is able to execute arbitrary OS commands.

In the default openWB configuration, the www-data user is given unconstrained sudo access. For this reason, any command can trivially be executed with root privileges.

Proposed Mitigation

Sanitize the user input using a function such as escapeshellargs() before passing it to system().

[benderl]

@DetMoerk
Kannst Du Dir das bitte ansehen? Ein Backport von 2.0 sollte passen.

[DetMoerk]

@benderl: PR ist erstellt, allerdings läuft er nicht durch den Check. Kannst du dir das mal anschauen, hat ein Problem beim Setup Python 3.5, da kann ich jetzt nichts beitragen.
Sorry, muss da noch mal schauen, ich hab das wohl falsch angehängt. Liegt im meinem Repo

[benderl]

@DetMoerk
Bitte den #2673 mal testen. Habe alles nach bestem Wissen bearbeitet, aber keinen Account.

[DetMoerk]

Haut leider nicht ganz hin.
In soc.py und auth.py hast du die Verzeichnisse ramdisk_dir, module_dir und base_dir angepasst. Bei mir haben die Verzeichisse immer einen / als Abschluss, der ist bei dir jetzt verschwunden. Ansonsten geht es.

[DetMoerk]

Ich hab das jetzt in den PR in meinem Repo mit aufgenommen https://github.com/DetMoerk/openWB/pull/1/files

[benderl]

Dein PR wirft leider immer noch Fehler. Mir ist aufgefallen, dass in Deinem Fork der Workflow nicht dem aus unserem entspricht. Vermutlich liegt es daran. Und Du stellst den PR gegen Deinen eigenen master Branch. ;-)

Ich habe meinen PR nochmal angepasst. Bitte erneut testen, sollte aber dann passen.

[DetMoerk]

Ist getestet, passt jetzt. Ich weiß nicht genau wie ich es geschafft habe, das gegen meinen master laufen zu lassen. Hoffe das nächste Mal geht es gleich wieder zu euch.
Kannst mergen, dann teste ich noch mal das Original von euch

[eldstal]

CVE-2023-30261 has been assigned to this vulnerability.