Websecurity - Веб безпека

В листопаді минулого року (03.11.2006) я знайшов Cross-Site Scripting уразливості в движку WordPress 2.0. Дані уразливості зокрема я знайшов на сайті www.mozilla-team.org.ua (про що я писав нещодавно), адмінам якого я повідомив, і вони працюють над виправленням (планують оновити движок на більш нову версію).

Уразливими є версії WordPress 2.0 та потенційно 2.0.1 і 2.0.2. WP 2.0.3 вже не вразливий. Як і всі наступні версії WordPress: 2.0.4, 2.0.5, 2.0.6, 2.0.7, 2.1 (нещодавно як раз вийшов WordPress 2.1).

XSS:

Уразливості в файлі wp-register.php.

POST запит на сторінці http://site/wp-register.php:

"><script>alert(document.cookie)</script>В полях: Ім’я користувача та E-Mail.

Це лише деякі з уразливостей в движку WordPress, що були в попередніх версіях движка, які я не використовував (сам почав використовувати WP з версії 2.0.3), але котрі знаходив на різних сайтах в Мережі. І це окрім тих уразливостей, які я знайшов у наступних версіях движка, про які я писав: Численні уразливості в WordPress, Нові уразливості в WordPress, Чергові уразливості в WordPress.

This entry was posted on 21:49 14.02.2007 and is filed under Новини сайту, Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.