XSS та FPD уразливості в LBG Zoom In/Out Effect Slider для WordPress

23:57 02.11.2013

Сьогодні я виявив Cross-Site Scripting та Full path disclosure уразливості в плагіні LBG Zoom In/Out Effect Slider для WordPress. Про що найближчим часом повідомлю розробникам.

Стосовно плагінів для WordPress раніше я писав про уразливості в RokIntroScroller і RokMicroNews.

До раніше оприлюдненої XSS уразливості в цьому плагіні, я знайшов 26 нових дірок. Всього 24 XSS та 2 FPD уразливості.

Cross-Site Scripting (WASC-08):

XSS в файлах add_playlist_record.php та settings_form.php.

LBG Zoominoutslider XSS.html

LBG Zoominoutslider XSS-2.html

LBG Zoominoutslider XSS-3.html

LBG Zoominoutslider XSS-4.html

LBG Zoominoutslider XSS-5.html

LBG Zoominoutslider XSS-6.html

LBG Zoominoutslider XSS-7.html

LBG Zoominoutslider XSS-8.html

LBG Zoominoutslider XSS-9.html

Full path disclosure (WASC-13):

http://site/wp-content/plugins/lbg_zoominoutslider/tpl/banners.php
http://site/wp-content/plugins/lbg_zoominoutslider/tpl/playlist.php

Уразливі всі версії LBG Zoom In/Out Effect Slider для WordPress.


Leave a Reply

You must be logged in to post a comment.