А вот то, что YoYo и Франциско - это одно и тоже лицо, в этом я уверен. Т.к. я получил ответ Франциско и данный коментарий практически одновременно, один за другим. И текст его письма и комментарий YoYo сильно перекликались.

А вот, то что 3APA3A указал версию 8.1, я тоже заметил . Он так сделал, чтобы версия была указана, т.к. я версию не уточнял.

Данную уязвимость в PHP-Nuke (которую нашёл MosT3mR в августе, а я нашёл в октябре 2006 года) я специально не искал, т.к. нашёл дырки на сайте, который оказался на данном движке. А вот для своего проекта Month of Bugs in Captchas я специально нашёл дырки в капче PHP-Nuke (причём в последней версии). Так что этот движок засветится в моём проекте.

Спасибо, что сообщил о том, что уязвимость в модуле AutoTheme (точнее AutoHTML, как сказано на securityfocus.com). Так как я не пользуюсь нюком, то мне не было известно к какому модулю или модификации относятся данные дырки (а владельцы сайта, где я нашёл дырки не уточнили к какому модулю относятся уязвимые скрипты). Поэтому я и не написал к какой конкретно версии PHP-Nuke или его модуля относятся данные уязвимости.

Касательно твоего комментария. Ты вообще внимательно читал мой пост, указанные даты и другие комментарии к посту? Явно невнимательно. В тексте данного сообщения (от 16.01.2007) я написал, что нашёл эти уязвимости на arcanumclub.ru, где в сообщении о дырках на этом сайте я написал, что нашёл их 09.10.2006. Так что об этой дырке мне известно более чем год. Поэтому, как и открыватель этой дырки, я нашёл её более года назад (он в августе 2006, я в октябре 2006). О ней я написал ещё в январе и лишь сейчас опубликовал детали (как нашёл время) - вначале уведомив в январе владельцев сайта и разработчиков. Причём я описал её более детально в контексте сразу нескольких уязвимостей (в двух файлах и два класса уязвимостей Local File Inclusion и Information Leakage).

Ответ от Франциско еще не получил?

Ты невнимательно читал предыдущие комментарии, на этот вопрос я уже ответил. Ещё в январе месяце я написал Francisco о данных уязвимостях. После чего он мне сразу ответил (и запостил коммент под ником Yoyo), что об этих скриптах ничего не знает (к какому модулю они относятся он не знал), поэтому данные дырки к официальному релизу не относятся. На что я ему ответил, и о чём уже писал выше, что я нюком не пользуюсь, поэтому о данных скриптах мне ничего не известно. Я лишь уведомил владельцев сайта, а также разработчиков движка и Интернет сообщество о наличии данных проблем.

Поэтому, KrasivayaSvo, пожалуйста, внимательно читай тексты сообщений, указанные даты и комментарии к сообщениям, перед тем как писать свои комментарии.

Щоб швидко знайти дані Local File Inclusion та Information Leakage уразливості в PHP-Nuke можна використати наступний дорк:

inurl:autohtml.php

First I make an announcement to give time of site owners and web application developers to fix the holes. And only after that I write details.

I wrote details to administrators of vulnerable site and to developer of PHP-Nuke. Today I wrote new letter to Francisco Burzi with additional details. Today I’ll post PoCs of these vulnerabilities.

As I wrote to Francisco (it’s possible that Yoyo is his nickname), I found these vulnerabilities at one site and I wrote to administrator of the site about these holes and they thanked me (and fixed these holes already). On the site I found that this site use PHP-Nuke, so I decided to inform developers also.

No need to tell me about belong these files or not to official releases. I don’t use PHP-Nuke and don’t know about its files. I just inform developers and Internet community about the issue. So in my article I wrote only correct information - about what I found.

I’ll inform developers in the future about new vulnerabilities which I found in PHP-Nuke. And I tell you beforehand that PHP-Nuke’s captcha (which is vulnerable) will be in my Month of Bugs in Captchas.

Так, нюки (різні версії, в тому числі PHP-Nuke) не відрізняються безпекою і часто з’являються в багтреках (у мене в новинах також). І дані уразливості лише підтверджують їх дірявість.

З часом розповім про нові уразливості в PHP-Nuke, що я знайшов.