XSS, AoF та IAA уразливості в MC Content Manager

15:18 22.03.2011

24.01.2011

У листопаді, 05.11.2010, я знайшов Cross-Site Scripting, Abuse of Functionality та Insufficient Anti-automation уразливості в системі MC Content Manager (це українська комерційна CMS). Які я виявив на сайті br-ua.com та інших сайтах на даному движку. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в MC Content Manager.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

22.03.2011

XSS:

Уразливості на сторінках реєстрації та відновлення паролю.

MC Content Manager XSS.html

MC Content Manager XSS2.html

MC Content Manager XSS3.html

Abuse of Functionality:

http://site/users/register

http://site/users/remind

На сторінках реєстрації та відновлення паролю можна визначати емайли користувачів (що є логінами).

Insufficient Anti-automation:

http://site/users/register

http://site/users/remind

Хоча капчі використовуються на даних сторінках, але для визначення емайлів (логінів) користувачів не потрібно вводити коректну капчу.

Уразливі потенційно всі версії MC Content Manager (MC Content Manager v.10.1.1 та попередні версії).


Leave a Reply

You must be logged in to post a comment.