MoBiC-23 Bonus: XSS in Math Comment Spam Protection

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Cross-Site Scripting уязвимостях в капче Math Comment Spam Protection. Это капча плагин для WordPress.

Для атаки необходимо произвести CSRF + XSS атаку (для обеих уязвимостей). Причём это persistent XSS уязвимости.

XSS:

Эксплоит 1:

http://websecurity.com.ua/uploads/2007/MoBiC/Math%20Comment%20Spam%20Protection%20CSRF.html

http://websecurity.com.ua/uploads/2007/MoBiC/Math%20Comment%20Spam%20Protection%20XSS.html

Эксплоит 2:

http://websecurity.com.ua/uploads/2007/MoBiC/Math%20Comment%20Spam%20Protection%20CSRF2.html

http://websecurity.com.ua/uploads/2007/MoBiC/Math%20Comment%20Spam%20Protection%20XSS2.html

Дополнительная информация о данной уязвимости у меня на сайте:

MoBiC-23 Bonus: XSS in Math Comment Spam Protection
http://websecurity.com.ua/1576/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua