exploit the possibilities

huutoporssi.fi Disclosure / XSS / Privilege Escalation

huutoporssi.fi Disclosure / XSS / Privilege Escalation
Posted Dec 3, 2015

huutoporssi.fi, which is currently offline, suffers from cross site scripting, privilege escalation, information disclosure, and user data modification vulnerabilities.

tags | advisory, vulnerability, xss, info disclosure
MD5 | c08fae707116bf904ad7e19880740ab4

huutoporssi.fi Disclosure / XSS / Privilege Escalation

Change Mirror Download
In English
==========

Description
-----------

Multiple vulnerabilities have been discovered on huutoporssi.fi that can
potentially cause information disclosure and modification of personally
identifiable account data, cross-site scripting and account privilege
escalation.

Service
-------

huutoporssi.fi is a Finnish e-commerce auction site by Huutopörssi Oy
(Y-tunnus 27094385). The website vendor is Arttu Arojoki Tmi (Y-tunnus
20514033).

Vulnerabilities and issues
--------------------------

- Profile privilege escalation
- Profile cross-site scripting
- Information disclosure & modification of any profile
- Name
- Address
- Business ID (Y-tunnus)
- Phone number
- Password recovery sends plaintext passwords by email
- Plaintext protocol (HTTP) used for registrations/logins/site (not for
financial transactions)

Remediation
-----------

The vendor has acknowledged the issues 1.5 months before this public
advisory.

At this time, huutoporssi.fi is unavailable which temporarily mitigates
these issues. A final resolution is expected in next upcoming months.

End-users: For now, there is no information of any known malicious abuse
of the vulnerabilities. Users of Huutopörssi should not need to take any
action to protect their account information. No passwords could be
disclosed with these vulnerabilities without a man-in-the-middle attack.

Users may contact Huutopörssi for questions.

Milestones
----------

- 2015-10-17: Details about the vulnerabilities are communicated to the
vendor and company CEO.
- 2015-10-24: Asked for feedback.
- 2015-10-26: Vendor responds some vulnerabilities were patched, others
are still a "work in progress".
- 2015-11-14: Vendor informed of intent to disclosure in two weeks.
- 2015-11-16: Vendor/CEO informs vulnerabilities won't be fixed timely
due to cost of software development.
- 2015-1?-??: huutoporssi.fi becomes unavailable.
- 2015-12-01: Public release of advisory.

Suomeksi
========

Selvitys
--------

Useita haavoittuvuuksia on löydetty huutoporssi.fi sivustolta jotka ovat
mahdollistaneet informaatiovuodon ja -muokkauksen profiiliin tallennetuista
henkilötiedoista, cross-site scripting -haavoittuvuuden ja käyttäjätilin
käyttäjäoikeuksien korottamisen.

Palvelu
-------

huutoporssi.fi on Huutopörssi Oy:n (Y-tunnus 27094385) omistama
suomalainen verkkohuutokauppa. Verkkosivujen tekijä ja toimittaja on
Arttu Arojoki Tmi (Y-tunnus 20514033).

Haavoittuvuudet ja ongelmat
---------------------------

- Profiilin käyttäjäoikeuksien korottaminen
- Profiilin cross-site scripting -haavoittuvuus
- Informaatiovuoto ja informaatiomuokkaus missä tahansa profiilissa
- Nimi
- Osoite
- Y-tunnus
- Puhelinnumero
- Salasanan lähetys selkokielisenä sähköpostilla käyttäen
salasananpalautusta
- Salaamattoman HTTP-protokollan käyttö
kirjautumiseen/rekisteröintiin/profiileihin

Korjaus
-------

Verkkosivujen toimittaja on varmistetusti vastaanottanut tiedon
haavoittuvuuksista 1.5 kuukautta ennen tätä julkista
tietoturvatiedotusta.

Tällä hetkellä huutoporssi.fi verkkosivua ei pystytä saavuttamaan, joka
väliaikaisesti paikkaa nämä ongelmat. Lopullinen korjausratkaisu on
odotettavissa tulevien kuukausien aikana.

Loppukäyttäjät: Toistaiseksi ei ole tunnettua tietoa haavoittuvuuksien
väärinkäytöstä. Huutopörssin käyttäjien ei tarvitse toimia suojatakseen
käyttäjätilien tietoturvaa. Haavoittuvuuksilla ei ole voitu päästä
suoraan käsiksi nykyisiin salasanoihin.

Käyttäjät voivat olla yhteydessä Huutopörssiin kysymyksissä.

Aikalinja
---------

- 2015-10-17: Yksityiskohdat haavoittuvuuksista ilmoitettiin verkkosivun
toimittajalle ja Huutopörssin toimitusjohtajalle.
- 2015-10-24: Palautteen kysely verkkosivujen toimittajalta.
- 2015-10-26: Verkkosivujen toimittaja vastaa että osa
haavoittuvuuksista on korjattu, mutta osa on vielä "työn
alla".
- 2015-11:14: Verkkosivujen toimittajalle ilmoitettu aikomuksesta
julkaista tietoturvatiedotus.
- 2015-11-16: Verkkosivujen toimittaja/Huutopörssin toimitusjohtaja
vastaa ettei haavoittuvuuksia voida paikata ajallaan
kustannussyistä.
- 2015-1?-??: huutoporssi.fi päätyy saavuttamattomaksi.
- 2015-12-01: Julkisen tietoturvatiedotteen julkaisu.

--
OpenPGP: 496B 08C3 1B71 75B1 F9CF 4646 AC3D EEA2 3DFB F4C8
https://wubthecaptain.eu/wubthecaptain.asc


Comments

RSS Feed Subscribe to this comment feed

No comments yet, be the first!

Login or Register to post a comment

File Archive:

October 2019

  • Su
  • Mo
  • Tu
  • We
  • Th
  • Fr
  • Sa
  • 1
    Oct 1st
    24 Files
  • 2
    Oct 2nd
    15 Files
  • 3
    Oct 3rd
    7 Files
  • 4
    Oct 4th
    4 Files
  • 5
    Oct 5th
    10 Files
  • 6
    Oct 6th
    1 Files
  • 7
    Oct 7th
    21 Files
  • 8
    Oct 8th
    19 Files
  • 9
    Oct 9th
    5 Files
  • 10
    Oct 10th
    20 Files
  • 11
    Oct 11th
    17 Files
  • 12
    Oct 12th
    4 Files
  • 13
    Oct 13th
    4 Files
  • 14
    Oct 14th
    15 Files
  • 15
    Oct 15th
    19 Files
  • 16
    Oct 16th
    25 Files
  • 17
    Oct 17th
    17 Files
  • 18
    Oct 18th
    7 Files
  • 19
    Oct 19th
    1 Files
  • 20
    Oct 20th
    3 Files
  • 21
    Oct 21st
    12 Files
  • 22
    Oct 22nd
    11 Files
  • 23
    Oct 23rd
    0 Files
  • 24
    Oct 24th
    0 Files
  • 25
    Oct 25th
    0 Files
  • 26
    Oct 26th
    0 Files
  • 27
    Oct 27th
    0 Files
  • 28
    Oct 28th
    0 Files
  • 29
    Oct 29th
    0 Files
  • 30
    Oct 30th
    0 Files
  • 31
    Oct 31st
    0 Files

Top Authors In Last 30 Days

File Tags

Systems

packet storm

© 2019 Packet Storm. All rights reserved.

Services
Security Services
Hosting By
Rokasec
close