Websecurity - Веб безпека

У серпні, 02.08.2008, я знайшов Cross-Site Scripting уразливість в системі e-Vision CMS. В даній системі, окрім оприлюднених в експлоіті SQL Injection, Remote File Upload та Information Leakage уразливостей, є також можливість XSS атаки - через phpinfo.php на вразливих версіях PHP. Про що найближчим часом сповіщу розробників системи.

XSS:

http://site/admin/phpinfo.php?xss[][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][]=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Вразливі e-Vision CMS 2.02 та попередені версії (і потенційно наступні) на PHP <= 4.4.6 та PHP <= 5.1.2 (де наявна XSS в phpinfo).

This entry was posted on 23:54 15.01.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.