Нові уразливості в eSitesBuilder
15:01 16.12.201008.10.2010
У червні, 18.06.2010, я знайшов Cross-Site Scripting, Insufficient Anti-automation та Abuse of Functionality уразливості в eSitesBuilder (це українська комерційна CMS). Які я виявив на сайті www.allo.ua. Про що найближчим часом повідомлю розробникам.
Раніше я вже писав про уразливості в eSitesBuilder.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.
16.12.2010
XSS:
http://site/console/forget.php?e_mail=%3Cscript%3Ealert(document.cookie)%3C/script%3E&seenform=y
Insufficient Anti-automation:
http://site/console/forget.php
На даній сторінці немає захисту від автоматизованих запитів (капчі).
Abuse of Functionality:
http://site/console/forget.php
Через даний функціонал можна визначати логіни користувачів.
Уразливі потенційно всі версії eSitesBuilder.