Уразливості в WordPress ME для XOOPS
20:23 06.08.200823.06.2008
У жовтні, 30.10.2007, я знайшов Cross-Site Scripting уразливості в модулі WordPress ME для XOOPS. Які я перевірив на одному сайті, де і використовується даний плагін для XOOPS.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам движка та плагіна.
06.08.2008
XSS:
POST запит на сторінці http://site/modules/wordpress/ wp-comments-post.php
"><script>alert(document.cookie)</script>В параметрах: author, comment, private_key та back.
Експлоіт:
WordPress ME for XOOPS XSS.html
Уразлива версія WordPress ME 0.3.3 module for XOOPS та попередні версії.
