« Добірка експлоітів
На Житомирщині розкрито Інтернет-злочин »

Уразливості в Contrexx CMS

20:25 17.07.2008

20.06.2008

У жовтні, 30.10.2007, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості в системі Contrexx CMS. Як раз коли виявив уразливості на www.astalavista.com, де і використовується цей движок.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

17.07.2008

XSS:

http://site/index.php?section=search&term=%22%20style=%22xss:expression(alert(document.cookie)) (IE)

Insufficient Anti-automation:

На сторінці реєстрації (http://site/index.php?section=community &cmd=register) немає захисту від автоматизованих запитів (капчі).

Уразлива Contrexx CMS 2.0 та попередні версії.


This entry was posted on 20:25 17.07.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

2 відповідей на “Уразливості в Contrexx CMS”

  1. Slava каже:
    Понеділок, 18:41 23.06.2008

    А будет ли какойнибуть патч или обьяснение где есть таковая уязвимость и как её закрыть??? ато имеется сайт на этом двиге а его терять не хочется 8O :roll:

  2. MustLive каже:
    Субота, 23:53 12.07.2008

    Slava

    Детальная информация об уязвимостях (где они находятся) появится со временем (в этом месяце). Вначале я выслал информацию разработчикам и дал им время на исправление, перед публикацией деталей (как я и делаю в 99% случаев).

    Патчей для уязвимостей я не предоставляю (за исключением тех дыр, для которых я делаю патчи в своём MustLive Security Pack). Поэтому патчить нужно или самому, или дождаться выхода обновлений от разработчиков. Замечу, что разработчики мне до сих пор так и не ответили, и соответственно дыр не исправили, так что пользователям Contrexx CMS придётся самим исправлять данные уязвимости.

    ато имеется сайт на этом двиге а его терять не хочется

    Чтобы не терять свои сайты, нужно следить за их безопасностью и проводить аудиты безопасности.