XSS уразливість на wordpress.com

23:52 18.04.2008

В минулому році mybeNi знайшов Cross-Site Scripting уразливість в адмінці на блог-хостінгу wordpress.com. Що використовує движок WordPress (на той час там використовувалася гілка WP 2.1.х).

XSS:

http://site/wp-admin/invites.php?result=sent&to=a@c.com%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Цікаве те, що одна зі знайдених в минулому місяці Cross-Site Scripting уразливостей в WordPress, також була в файлі invites.php в параметрі to (це та сама дірка). Тобто розробники WP так і не виправили даної дірки до версії WordPress 2.3.2 включно. Лише в 2.3.3 вона нарешті була виправлена.

This entry was posted on 23:52 18.04.2008 and is filed under Новини сайту, Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.

2 відповідей на “XSS уразливість на wordpress.com”

beni каже:
Четвер, 00:06 24.04.2008
Hasn’t this XSS vuln been fixed yet %-) ?

- beni
MustLive каже:
Четвер, 00:16 24.04.2008
beni

Yes, it was fixed already, as I wrote above in my post (in Ukrainian).

But the most interesting, as I wrote, that you found this hole last year, but last month there were found two XSS holes in WP (at wordpress.com), one of them was the same as yours. So WordPress developers finally fixed that hole only in 2.3.3 version.

You must be logged in to post a comment.

Websecurity - Веб безпека

XSS уразливість на wordpress.com

2 відповідей на “XSS уразливість на wordpress.com”

Leave a Reply

Меню

Категорії

Останні повідомлення

Архів +-

Мета