Home / vulnerabilities huutoporssi.fi Disclosure / XSS / Privilege Escalation
Posted on 03 December 2015
Source : packetstormsecurity.org Link
In English
==========
Description
-----------
Multiple vulnerabilities have been discovered on huutoporssi.fi that can
potentially cause information disclosure and modification of personally
identifiable account data, cross-site scripting and account privilege
escalation.
Service
-------
huutoporssi.fi is a Finnish e-commerce auction site by Huutopörssi Oy
(Y-tunnus 27094385). The website vendor is Arttu Arojoki Tmi (Y-tunnus
20514033).
Vulnerabilities and issues
--------------------------
- Profile privilege escalation
- Profile cross-site scripting
- Information disclosure & modification of any profile
- Name
- Address
- Business ID (Y-tunnus)
- Phone number
- Password recovery sends plaintext passwords by email
- Plaintext protocol (HTTP) used for registrations/logins/site (not for
financial transactions)
Remediation
-----------
The vendor has acknowledged the issues 1.5 months before this public
advisory.
At this time, huutoporssi.fi is unavailable which temporarily mitigates
these issues. A final resolution is expected in next upcoming months.
End-users: For now, there is no information of any known malicious abuse
of the vulnerabilities. Users of Huutopörssi should not need to take any
action to protect their account information. No passwords could be
disclosed with these vulnerabilities without a man-in-the-middle attack.
Users may contact Huutopörssi for questions.
Milestones
----------
- 2015-10-17: Details about the vulnerabilities are communicated to the
vendor and company CEO.
- 2015-10-24: Asked for feedback.
- 2015-10-26: Vendor responds some vulnerabilities were patched, others
are still a "work in progress".
- 2015-11-14: Vendor informed of intent to disclosure in two weeks.
- 2015-11-16: Vendor/CEO informs vulnerabilities won't be fixed timely
due to cost of software development.
- 2015-1?-??: huutoporssi.fi becomes unavailable.
- 2015-12-01: Public release of advisory.
Suomeksi
========
Selvitys
--------
Useita haavoittuvuuksia on löydetty huutoporssi.fi sivustolta jotka ovat
mahdollistaneet informaatiovuodon ja -muokkauksen profiiliin tallennetuista
henkilötiedoista, cross-site scripting -haavoittuvuuden ja käyttäjätilin
käyttäjäoikeuksien korottamisen.
Palvelu
-------
huutoporssi.fi on Huutopörssi Oy:n (Y-tunnus 27094385) omistama
suomalainen verkkohuutokauppa. Verkkosivujen tekijä ja toimittaja on
Arttu Arojoki Tmi (Y-tunnus 20514033).
Haavoittuvuudet ja ongelmat
---------------------------
- Profiilin käyttäjäoikeuksien korottaminen
- Profiilin cross-site scripting -haavoittuvuus
- Informaatiovuoto ja informaatiomuokkaus missä tahansa profiilissa
- Nimi
- Osoite
- Y-tunnus
- Puhelinnumero
- Salasanan lähetys selkokielisenä sähköpostilla käyttäen
salasananpalautusta
- Salaamattoman HTTP-protokollan käyttö
kirjautumiseen/rekisteröintiin/profiileihin
Korjaus
-------
Verkkosivujen toimittaja on varmistetusti vastaanottanut tiedon
haavoittuvuuksista 1.5 kuukautta ennen tätä julkista
tietoturvatiedotusta.
Tällä hetkellä huutoporssi.fi verkkosivua ei pystytä saavuttamaan, joka
väliaikaisesti paikkaa nämä ongelmat. Lopullinen korjausratkaisu on
odotettavissa tulevien kuukausien aikana.
Loppukäyttäjät: Toistaiseksi ei ole tunnettua tietoa haavoittuvuuksien
väärinkäytöstä. Huutopörssin käyttäjien ei tarvitse toimia suojatakseen
käyttäjätilien tietoturvaa. Haavoittuvuuksilla ei ole voitu päästä
suoraan käsiksi nykyisiin salasanoihin.
Käyttäjät voivat olla yhteydessä Huutopörssiin kysymyksissä.
Aikalinja
---------
- 2015-10-17: Yksityiskohdat haavoittuvuuksista ilmoitettiin verkkosivun
toimittajalle ja Huutopörssin toimitusjohtajalle.
- 2015-10-24: Palautteen kysely verkkosivujen toimittajalta.
- 2015-10-26: Verkkosivujen toimittaja vastaa että osa
haavoittuvuuksista on korjattu, mutta osa on vielä "työn
alla".
- 2015-11:14: Verkkosivujen toimittajalle ilmoitettu aikomuksesta
julkaista tietoturvatiedotus.
- 2015-11-16: Verkkosivujen toimittaja/Huutopörssin toimitusjohtaja
vastaa ettei haavoittuvuuksia voida paikata ajallaan
kustannussyistä.
- 2015-1?-??: huutoporssi.fi päätyy saavuttamattomaksi.
- 2015-12-01: Julkisen tietoturvatiedotteen julkaisu.
--
OpenPGP: 496B 08C3 1B71 75B1 F9CF 4646 AC3D EEA2 3DFB F4C8
https://wubthecaptain.eu/wubthecaptain.asc