XSS, AoF та IAA уразливості в MC Content Manager
15:18 22.03.201124.01.2011
У листопаді, 05.11.2010, я знайшов Cross-Site Scripting, Abuse of Functionality та Insufficient Anti-automation уразливості в системі MC Content Manager (це українська комерційна CMS). Які я виявив на сайті br-ua.com та інших сайтах на даному движку. Про що найближчим часом повідомлю розробникам.
Раніше я вже писав про уразливості в MC Content Manager.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.
22.03.2011
XSS:
Уразливості на сторінках реєстрації та відновлення паролю.
Abuse of Functionality:
http://site/users/register
http://site/users/remind
На сторінках реєстрації та відновлення паролю можна визначати емайли користувачів (що є логінами).
Insufficient Anti-automation:
http://site/users/register
http://site/users/remind
Хоча капчі використовуються на даних сторінках, але для визначення емайлів (логінів) користувачів не потрібно вводити коректну капчу.
Уразливі потенційно всі версії MC Content Manager (MC Content Manager v.10.1.1 та попередні версії).