XSS уразливість в coWiki
19:08 04.08.200713.07.2007
У січні, 17.01.2007, я знайшов Cross-Site Scripting уразливість в движку coWiki. Як раз коли виявив уразливість на s9y.org, де і використовується цей движок.
Уразлива версія coWiki 0.3.4 та усі попередні.
Деталі уразливості з’являться пізніше, спочатку повідомлю розробникам системи.
04.08.2007
XSS:
Уразливість в головному скрипті в параметрі q.
http://site/?cmd=srchdoc&q=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
Розробникам coWiki я повідомив, але вони так і не відповіли. Тому користувачам даної системи варто самотужки виправити цю дірку.