Cross-Site Scripting в WP-PHPList

Сообщаю вам о найденной мною 12.10.2006 Cross-Site Scripting уязвимости в WP-PHPList 2.10.2 (<= 2.10.2) - плагине к WordPress (система управления подписками).

Уязвимость в параметре unsubscribeemail в скрипте wp-phplist.php.

XSS:

http://host/wp-phplist.php?p=unsubscribe&amp;id=1&amp;unsubscribeemail=&#37;22&#37;3E&#37;3Cscript&#37;3Ealert&#40;document.cookie&#41;&#37;3C/script&#37;3E

Дополнительная информация о данной уязвимости у меня на сайте:
http://websecurity.com.ua/288/

После обнаружения уязвимости, я сразу же сообщил о ней разработчикам плагина. Но до сих пор разработчики WP-PHPList так и не ответил мне, и не выпустил новой версии плагина. Поэтому пользователям WP-PHPList нужно будет самостоятельно исправить уязвимость в плагине.

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua