Уразливості в Dataface Web Application Framework

15:09 06.08.2010

10.06.2010

У листопаді, 04.11.2009, я знайшов Cross-Site Scripting та Full path disclosure уразливості в Dataface Web Application Framework. Які виявив на сайті http://xataface.com, де використовується даний движок. Про що найближчим часом сповіщу розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

06.08.2010

XSS:

http://site/admin.php?-table=pages&-search=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&-action=search_index

Full path disclosure:

http://site

Змінна DATAFACE_PATH в тілі кожної сторінки сайта.

Уразлива версія Dataface 1.0. Після мого повідомлення дані уразливості були виправлені розробником в останній версії системи.


Leave a Reply

You must be logged in to post a comment.