XSS уразливість в Nucleus
23:53 14.09.2007В минулому роціі, 24.08.2006, я знайшов Cross-Site Scripting уразливість в движку Nucleus. Як раз коли знайшов уразливість на ain.com.ua, де і використовується дана CMS.
XSS:
Уразливість на сторінці index.php в параметрі archive.
http://site/index.php?blogid=1&archive=2007-01-01%3Cscript%3Ealert(document.cookie)%3C/script%3E
Уразлива версія Nucleus 3.01 та потенційно усі попередні (і можливо наступні версії).
П'ятниця, 19:46 28.09.2007
Як повідомив мені розробник Nucleus дана уразливість наявна не в самому движку, а в плагіні NP_Calendar. Розробникам даного плагіна слід приділяти увагу його безпеці.