XSS та FPD уразливості в LBG Zoom In/Out Effect Slider для WordPress
23:57 02.11.2013Сьогодні я виявив Cross-Site Scripting та Full path disclosure уразливості в плагіні LBG Zoom In/Out Effect Slider для WordPress. Про що найближчим часом повідомлю розробникам.
Стосовно плагінів для WordPress раніше я писав про уразливості в RokIntroScroller і RokMicroNews.
До раніше оприлюдненої XSS уразливості в цьому плагіні, я знайшов 26 нових дірок. Всього 24 XSS та 2 FPD уразливості.
Cross-Site Scripting (WASC-08):
XSS в файлах add_playlist_record.php та settings_form.php.
LBG Zoominoutslider XSS-2.html
LBG Zoominoutslider XSS-3.html
LBG Zoominoutslider XSS-4.html
LBG Zoominoutslider XSS-5.html
LBG Zoominoutslider XSS-6.html
LBG Zoominoutslider XSS-7.html
LBG Zoominoutslider XSS-8.html
LBG Zoominoutslider XSS-9.html
Full path disclosure (WASC-13):
http://site/wp-content/plugins/lbg_zoominoutslider/tpl/banners.php
http://site/wp-content/plugins/lbg_zoominoutslider/tpl/playlist.php
Уразливі всі версії LBG Zoom In/Out Effect Slider для WordPress.