XSS в темі WordPress Classic 1.5
23:38 12.08.2007Як я писав, в WordPress була виявлена Cross-Site Scripting уразливість, що пов’язана зі змінною PHP_SELF (з її недостатньою фільтрацією). Окрім самого движка, подібні уразливості також були виявлені в багатьох темах (шаблонах) для WP.
Сьогодні, 12.08.2007, я перевірив декілька тем для движка (з числа тих, що давно викачав собі), і виявив дану уразливість в декількох темах. Зокрема XSS уразливість в темі WordPress Classic 1.5.
XSS:
http://site/index.php/%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
У версіях Вордпреса від 2.1.3 та наступних дана уразливість в темі Classic вже виправлена.