Related information

Daily web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)

GTP 3G © Gnuturk Portal System year=**&month= Cross-Site Scripting Vulnerability

Multiple XSS in Digirez

Pligg critical vulnerability

BoastMachine index.php Cross Site Scripting Vulnerability

From:	MustLive <mustlive_(at)_websecurity.com.ua>
Date:	26.05.2007
Subject:	Vulnerabilities в WordPress 2.0

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною 03.11.2006 Cross-Site Scripting уязвимостях в движке WordPress 2.0.

Уязвимости в скрипте wp-register.php.
XSS:

POST запрос на странице http://site/wp-register.php:

"><script>alert(document.cookie)</script>

В полях: Имя пользователя и E-Mail.

Дополнительная информация о данной уязвимости у меня на сайте:
http://websecurity.com.ua/659/

Уязвимыми есть версии WordPress 2.0 и потенциально 2.0.1 и 2.0.2. WP 2.0.3 уже не уязвим к данным XSS. Как и все последующие версии WordPress от 2.0.4 до 2.1. Всем пользователям старых версий движка рекомендую перейти на его последние версии.

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua