XSS, CS та FPD уразливості в темі I Love It для WordPress
23:51 11.07.2013У травні, 16.05.2013, я виявив Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темі I Love It для WordPress. Про що найближчим часом повідомлю розробникам.
Дана тема містить вразливі версії Audio Player та GDD FLVPlayer. Раніше я писав про XSS та FPD уразливості в темі I Love It New для WordPress - новій версії цього шаблона.
Cross-Site Scripting (WASC-08):
http://site/wp-content/themes/iloveit/lib/php/assets/player.swf?playerID=%22))}catch(e){alert(document.cookie)}//
Content Spoofing (WASC-12):
http://site/wp-content/themes/iloveit/flv/gddflvplayer.swf
В GDD FLVPlayer є 10 уразливостей: 8 CS і 2 XSS.
Full path disclosure (WASC-13):
http://site/wp-content/themes/iloveit/
FPD в index.php та інших php-файлах (в папці та підпапках).
Вразливі всі версії теми I Love It для WordPress.