huutoporssi.fi Disclosure / XSS / Privilege Escalation

huutoporssi.fi Disclosure / XSS / Privilege Escalation: Posted Dec 3, 2015; huutoporssi.fi, which is currently offline, suffers from cross site scripting, privilege escalation, information disclosure, and user data modification vulnerabilities.; tags | advisory, vulnerability, xss, info disclosure; SHA-256 | 5cfe8025663a2bfef9a365a6f6b6884916d199ece4fae1a80e9963fa8737b3ad; Download | Favorite | View

huutoporssi.fi Disclosure / XSS / Privilege Escalation

In English
==========

Description
-----------

Multiple vulnerabilities have been discovered on huutoporssi.fi that can
potentially cause information disclosure and modification of personally
identifiable account data, cross-site scripting and account privilege
escalation.

Service
-------

huutoporssi.fi is a Finnish e-commerce auction site by Huutopörssi Oy
(Y-tunnus 27094385). The website vendor is Arttu Arojoki Tmi (Y-tunnus
20514033).

Vulnerabilities and issues
--------------------------

- Profile privilege escalation
- Profile cross-site scripting
- Information disclosure & modification of any profile
  - Name
  - Address
  - Business ID (Y-tunnus)
  - Phone number
- Password recovery sends plaintext passwords by email
- Plaintext protocol (HTTP) used for registrations/logins/site (not for
  financial transactions)

Remediation
-----------

The vendor has acknowledged the issues 1.5 months before this public
advisory.

At this time, huutoporssi.fi is unavailable which temporarily mitigates
these issues. A final resolution is expected in next upcoming months.

End-users: For now, there is no information of any known malicious abuse
of the vulnerabilities. Users of Huutopörssi should not need to take any
action to protect their account information. No passwords could be
disclosed with these vulnerabilities without a man-in-the-middle attack.

Users may contact Huutopörssi for questions.

Milestones
----------

- 2015-10-17: Details about the vulnerabilities are communicated to the
              vendor and company CEO.
- 2015-10-24: Asked for feedback.
- 2015-10-26: Vendor responds some vulnerabilities were patched, others
              are still a "work in progress".
- 2015-11-14: Vendor informed of intent to disclosure in two weeks.
- 2015-11-16: Vendor/CEO informs vulnerabilities won't be fixed timely
              due to cost of software development.
- 2015-1?-??: huutoporssi.fi becomes unavailable.
- 2015-12-01: Public release of advisory.

Suomeksi
========

Selvitys
--------

Useita haavoittuvuuksia on löydetty huutoporssi.fi sivustolta jotka ovat
mahdollistaneet informaatiovuodon ja -muokkauksen profiiliin tallennetuista
henkilötiedoista, cross-site scripting -haavoittuvuuden ja käyttäjätilin
käyttäjäoikeuksien korottamisen.

Palvelu
-------

huutoporssi.fi on Huutopörssi Oy:n (Y-tunnus 27094385) omistama
suomalainen verkkohuutokauppa. Verkkosivujen tekijä ja toimittaja on
Arttu Arojoki Tmi (Y-tunnus 20514033).

Haavoittuvuudet ja ongelmat
---------------------------

- Profiilin käyttäjäoikeuksien korottaminen
- Profiilin cross-site scripting -haavoittuvuus
- Informaatiovuoto ja informaatiomuokkaus missä tahansa profiilissa
  - Nimi
  - Osoite
  - Y-tunnus
  - Puhelinnumero
- Salasanan lähetys selkokielisenä sähköpostilla käyttäen
  salasananpalautusta
- Salaamattoman HTTP-protokollan käyttö
  kirjautumiseen/rekisteröintiin/profiileihin

Korjaus
-------

Verkkosivujen toimittaja on varmistetusti vastaanottanut tiedon
haavoittuvuuksista 1.5 kuukautta ennen tätä julkista
tietoturvatiedotusta.

Tällä hetkellä huutoporssi.fi verkkosivua ei pystytä saavuttamaan, joka
väliaikaisesti paikkaa nämä ongelmat. Lopullinen korjausratkaisu on
odotettavissa tulevien kuukausien aikana.

Loppukäyttäjät: Toistaiseksi ei ole tunnettua tietoa haavoittuvuuksien
väärinkäytöstä. Huutopörssin käyttäjien ei tarvitse toimia suojatakseen
käyttäjätilien tietoturvaa. Haavoittuvuuksilla ei ole voitu päästä
suoraan käsiksi nykyisiin salasanoihin.

Käyttäjät voivat olla yhteydessä Huutopörssiin kysymyksissä.

Aikalinja
---------

- 2015-10-17: Yksityiskohdat haavoittuvuuksista ilmoitettiin verkkosivun
              toimittajalle ja Huutopörssin toimitusjohtajalle.
- 2015-10-24: Palautteen kysely verkkosivujen toimittajalta.
- 2015-10-26: Verkkosivujen toimittaja vastaa että osa
              haavoittuvuuksista on korjattu, mutta osa on vielä "työn
              alla".
- 2015-11:14: Verkkosivujen toimittajalle ilmoitettu aikomuksesta
              julkaista tietoturvatiedotus.
- 2015-11-16: Verkkosivujen toimittaja/Huutopörssin toimitusjohtaja
              vastaa ettei haavoittuvuuksia voida paikata ajallaan
              kustannussyistä.
- 2015-1?-??: huutoporssi.fi päätyy saavuttamattomaksi.
- 2015-12-01: Julkisen tietoturvatiedotteen julkaisu.

-- 
OpenPGP: 496B 08C3 1B71 75B1 F9CF 4646 AC3D EEA2 3DFB F4C8
https://wubthecaptain.eu/wubthecaptain.asc

Top Authors In Last 30 Days

Red Hat 229 files
indoushka 167 files
Jay Turla 150 files
Ubuntu 67 files
h00die 54 files
juan vazquez 43 files
sinn3r 41 files
H D Moore 31 files
Karn Ganeshen 23 files
Pedro Ribeiro 22 files

File Archives

Systems

AIX (430)
Apple (2,114)
BSD (378)
CentOS (61)
Cisco (1,954)
Debian (7,124)
Fedora (1,693)
FreeBSD (1,247)
Gentoo (4,567)
HPUX (881)
iOS (389)
iPhone (108)
IRIX (220)
Juniper (71)
Linux (51,237)
Mac OS X (696)
Mandriva (3,105)
NetBSD (256)
OpenBSD (490)
RedHat (16,845)
Slackware (941)
Solaris (1,615)
SUSE (1,444)
Ubuntu (9,852)
UNIX (9,456)
UnixWare (188)
Windows (6,772)
Other

huutoporssi.fi Disclosure / XSS / Privilege Escalation

huutoporssi.fi Disclosure / XSS / Privilege Escalation

File Archive:

September 2024

Top Authors In Last 30 Days

File Tags

File Archives

Systems

huutoporssi.fi Disclosure / XSS / Privilege Escalation

Share This

huutoporssi.fi Disclosure / XSS / Privilege Escalation

File Archive:

September 2024

Top Authors In Last 30 Days

File Tags

File Archives

Systems