Lucene search

K
securityvulnsSecurityvulnsSECURITYVULNS:DOC:17099
HistoryMay 26, 2007 - 12:00 a.m.

Vulnerabilities в WordPress 2.0

2007-05-2600:00:00
vulners.com
6

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною 03.11.2006 Cross-Site Scripting уязвимостях в движке WordPress 2.0.

Уязвимости в скрипте wp-register.php.
XSS:

POST запрос на странице http://site/wp-register.php:

"><script>alert(document.cookie)</script>

В полях: Имя пользователя и E-Mail.

Дополнительная информация о данной уязвимости у меня на сайте:
http://websecurity.com.ua/659/

Уязвимыми есть версии WordPress 2.0 и потенциально 2.0.1 и 2.0.2. WP 2.0.3 уже не уязвим к данным XSS. Как и все последующие версии WordPress от 2.0.4 до 2.1. Всем пользователям старых версий движка рекомендую перейти на его последние версии.

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua