Cross-Site Scripting в шаблонах до WordPress
23:39 25.07.2007Нещодавно була виявлена уразливість міжсайтового скриптінга в шаблонах до WordPress. Зокрема вразливими виявилися шаблони Blix <= 0.9.1, BlixKrieg <= 2.2 та Blixed <= 1.0.
Про XSS дірку в стандартній темі движка я вже згадував. Цього разу подібна XSS уразливість в інших шаблонах для WP.
Уразливість існує через недостатню перевірку вхідних даних у параметрі “s” скрипта index.php (в пошуці по сайту). Віддалений користувач може за допомогою спеціально сформованого запиту виконати довільний код сценарію в браузері жертви в контексті безпеки уразливого сайта.
- Межсайтовый скриптинг в различных шаблонах к WordPress (деталі)