Уразливості в bbPress
23:56 26.12.2008У жовтні, 21.10.2008, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в bbPress. Це форумний движок від розробників WordPress. Дірки виявив на сайті, що використовує цей движок, та перевірив їх на офіційному сайті http://bbpress.org. Про що найближчим часом сповіщу розробників системи.
Insufficient Anti-automation:
На сторінці реєстрації http://site/path/register.php немає захисту від автоматизованих запитів (капчі).
XSS (IE):
Уразливість в bb-login.php в параметрі user_login.
Уразлива версія bbPress 0.9.0.3 та попередні версії.