Спасибо. Пожалуй уберу форму комментариев, пока не придумаем решение.
Получается, что любая форма, работающая с контентом сайта подвержена данной атаке.


Хорошее предложение. Надо передать разработчикам.

Это поле так же может быть изменено пользователем

Наверно нужно вообще запрещать анонимным пользователям работать с контетом. Если разработчики ничего не сделают - как вариант можно сделать триггер, который будет отлавливать подобные обращения к контенту и отсеивать анонимов (а в типе контента можно сделать параметр, разрешающий добавление анонимных записей и триггер будет зачитывать его)... Пожалуй начну писать этот триггер...

Получается, что URL - "/Contents/ContentService/Create" (который используется в Kooboo по умолчанию в формах) - потенциально опасен. Не ожидала от них такой дыры в безопасности
Если на сайте будет хоть одна не важно какая форма с валидационным токеном, то, используя этот URL в action'е, можно сайт поломать - непорядок!
Отправила письмо разработчику, с которым общаюсь, пусть думают. Они сейчас активно над 4ой версией работают, надеюсь там такой уязвимости не будет. Не знаю, будут ли они делать заплатки для версии 3.2.2, они в последнее время мало появляются в сообществе, видимо совсем ушли в работу.
Но пока надо что-то делать. У меня есть коммерческий сайт, где нужна форма обратной связи (а хакеру ничего не будет стоить использовать эту уязвимость на ней), так что первое - я через URL Rewriter в IIS запрещу обращения по этому URL (Contents/ContentService), т.к. я работаю с ним не напрямую, а через свой плагин. Таким образом подсунуть этот адрес мне в форму уже не получится. И второе - перепишу свой плагин (CustomCaptchaPlugin), вернее разделю его функциональность - работа с контентом отдельно, с формой обратной связи отдельно, по крайней мере эту дырку точно заткну.

vik.borisov - спасибо Я если честно понадеялась на опыт разработчиков, не подозревая о таком подвохе...

Если нет токена валидациии - вылетает исключение на этапе записи в базу.

Вышла версия 3.3.0. Уязвимость с сожалению не устранили

Вышел релиз 4.0.2. Разработчики добавили симметричное шифрование некоторых полей, типа FolderName и т.п., но уязвимость от этого не исчезла.
Например хакер все еще может просто поменять местами поля "FolderName" и "ParentFolder".
А зная значения полей "ParentFolder" и "ParentUUID", можно изменить action формы на update или delete (и вообще удалить контент, не имея никаких прав на это).
Симметричное шифрование не надежно, т.е. можно восстановить ключ, зная исходную и зашифрованную строку.
ContentService API готов принимать от клиента любые поля (хакер может добавить в форму нежелательные поля).
Поделилась этими мыслями с разработчиками - они согласились, что API все еще уязвим.

Единственное, что хорошего добавили по этому вопросу в новом релизе (4.0.2) - это возможность отключить ContentService API (через настройки сайта). Что я собственно сразу и сделала.

Пока остановились с разработчиками на варианте - задавать критические значения полей и список передаваемых полей от формы на стороне сервера, чтобы API точно знало, какие параметры и значения ему принимать. При таком механизме шифрование вообще не требуется. Будем надеяться, что они скоро это реализуют.

В связи с устранением уязвимости тема перенесена в открытый форум.