IAA та XSS уразливості в CMS WebManager-Pro
15:02 11.03.201111.01.2011
У жовтні, 15.10.2010, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в CMS WebManager-Pro. Дані уразливості я виявив на різних сайтах на CMS WebManager-Pro від FGS_Studio. Про що найближчим часом повідомлю розробникам.
Раніше я вже писав про уразливості в CMS WebManager-Pro.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.
11.03.2011
Insufficient Anti-automation:
На сторінці контактів (http://site/index.php?menu_id=x) немає захисту від автоматизованих запитів (капчі).
XSS:
POST запит на сторінці контактів (http://site/index.php?menu_id=x)
<script>alert(document.cookie)</script>
В полях: ФИО, E-mail, Телефон, Тема письма, Текст.
Уразливі CMS WebManager-Pro v.7.4.3 (версія від FGS_Studio) та попередні версії.