[Dolibarr-dev] Faille de sécurité....

[Simon TOSSER]

Bonjour,
Je viens de tomber sur une faille de sécurité dans Dolibarr...
Lors du téléchargement du document, nous avons la possibilité de
télécharger n'importe quel fichiersitué sur le serveur...
A partir du moment ou nous sommes authentifier nous avaons accès à la
page document.php

Par exemple :
http://dolibarr/document.php?modulepart=produit&file=../../../../../../../../../../../../../../../../../etc/passwd
Si le serveur est mal configuré le fichier /etc/passwd serait accessible
de même pour /etct/shadow ... un coup de john the ripper et bonjour les
dégats.

Mais nous sommes dans un cas particulier(enfin malheureusement pas tant
que ça...)
N'importe quel fichier sur ce serveur peut être compromis.

Par contre à partir du moment où nous avons accès à dolibarr...
Le fichier conf.php lui peut être accessible en wrap donc téléchargeable.
Du coup nous pouvons obtenir le nom de la base de données, le login et
le mot de passe....

Il suffit ensuite par le biais de l'upload de fichier d'envoyer sur le
serveur un fichier php contenant les instructions pour effectuer des
requêtes SQL.
Supression des tables, flush des tables ou encore modification du mot de
passe administrateur, modification de son profile utilisateur afin
d'obetnir les droits d'administrateurs. (je n'ai pas testé la manip
jusqu'au bout, mais elle en découle de source.)

Solution à apporter pour corriger cette faille de sécurité:

1 - Empêcher l'upload de fichier php
2 - Tester et supprimer la chaîne de caractères "../" passer en
paramètres au fichier document.php

Simon