#######################################################################

                             Luigi Auriemma

Applicazione: Chat Anywhere
              http://www.lionmax.com/chatanywhere.htm
Versioni:     <= 2.72
Piattaforme:  Windows
Bug:          gli utenti non possono essere kickati e bannati
Exploitation: remoto, via browser
Data:         09 Mar 2004
Autore:       Luigi Auriemma
              e-mail: aluigi@autistici.org
              web:    aluigi.org


#######################################################################


1) Introduzione
2) Bug
3) The Code
4) Fix


#######################################################################

===============
1) Introduzione
===============


Chat Anywhere e' un server di chat web che permette l'uso di stanze
multiple accessibili via browser. Supporta anche l'amministrazione
remota via web.


#######################################################################

======
2) Bug
======


Usando %00 prima del nickname permette all'utente di nascondersi
all'amministratore.
Praticamente l'amministratore non puo' vedere l'IP dell'utente nella
pagina di amministrazione remota perche' esso e' sostituito dal testo
$IP$.
Questo problema evita anche il banning ed il kicking dell'utente quindi
l'amministratore non avra' alcun controllo su di lui.


#######################################################################

===========
3) The Code
===========


Ho creato un semplice file html che invia %00 in testo perche' quasi
tutti i browsers lo inviano codificato in %2500:

  http://aluigi.org/poc/ca-ghost.htm


#######################################################################

======
4) Fix
======


Versione 2.72a


#######################################################################