IL та XSS уразливості в багатьох темах для WordPress

16:08 04.06.2011

11.04.2011

У квітні, 08.04.2011, я знайшов Information Leakage та Cross-Site Scripting уразливості в різних темах для WordPress. Про що найближчим часом повідомлю розробникам даних тем.

Уразливі наступні теми від WooThemes: Live Wire (всі три теми Live Wire серії), Gotham News, Typebased, Blogtheme, VibrantCMS, Fresh News, The Gazette Edition, NewsPress, The Station, The Original Premium News, Flash News, Busy Bee та Geometric. Можливі й інші уразливі шаблони для WP.

Раніше я вже писав про уразливості в багатьох темах для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

04.06.2011

В різних шаблонах є test.php - скрипт з phpinfo() - що призводить до Information Leakage (витік FPD та іншої важливої інформації про сервер) та XSS (в PHP < 4.4.1, 4.4.3-4.4.6).

Information Leakage:

http://site/wp-content/themes/_theme's_name_/includes/test.php

XSS:

http://site/wp-content/themes/_theme's_name_/includes/test.php?a[]=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Для Live Wire скрипт розміщується за адресою http://site/wp-content/themes/livewire/includes/test.php, для інших тем аналогічно.

Дані уразливості досі не виправлені розробниками. Тому користувачам даних тем потрібно виправити уразливості власноруч (наприклад, видаливши цей скрипт).


Leave a Reply

You must be logged in to post a comment.