El tag de BBcode [img] tiene un filtro anti-CSRF que puede ser circunvenido en la variable 'action'. Es posible ejecutar CSRF exitosamente.

Descripción

Software: Simple Machines Forum (SMF)
Versiones: SMF 2.0
SMF 1.1.14
Fecha de publicación: 2011-08-23
Impacto: Cross site request forgery
Solución: N/A (Desarrollador informado)
Websec-id: ws11-15

Cuando un usuario publica un URL como la fuente de un tag [img] y parece malicioso, SMF intenta evitar que se ejecute el CSRF cambiando "action=something" por "action-something".

Es posible crear un URL agregando al final del nombre de la variable un null-byte (%00). De esta forma el filtro es circunvenido y es posible realizar un ataque de CSRF.

Christian Yerena
cyerena [ at ] websec [ dot ] mx


PoC y Descripción detallada:

http://websec.mx/advisories/view/SMF_Cross_Site_Request_Forgery_Filter_Bypass