Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Cross-Site Scripting уязвимостях в плагине WP-ContactForm (новой версии со встроенной капчей). Это плагин для WordPress.
Всего 6 XSS уязвимостей на странице опций плагина http://site/wp-admin/admin.php?page=wp-contact-form/options-contactform.php. Причём это persistent XSS уязвимости.
XSS:
Эксплоиты:
http://websecurity.com.ua/uploads/2007/MoBiC/WP-ContactForm%20XSS.html
http://websecurity.com.ua/uploads/2007/MoBiC/WP-ContactForm%20XSS2.html
http://websecurity.com.ua/uploads/2007/MoBiC/WP-ContactForm%20XSS3.html
http://websecurity.com.ua/uploads/2007/MoBiC/WP-ContactForm%20XSS4.html
http://websecurity.com.ua/uploads/2007/MoBiC/WP-ContactForm%20CSRF5.html
http://websecurity.com.ua/uploads/2007/MoBiC/WP-ContactForm%20XSS5.html
http://websecurity.com.ua/uploads/2007/MoBiC/WP-ContactForm%20XSS6.html
http://websecurity.com.ua/uploads/2007/MoBiC/WP-ContactForm%20XSS7.html
http://websecurity.com.ua/uploads/2007/MoBiC/WP-ContactForm%20CSRF8.html
http://websecurity.com.ua/uploads/2007/MoBiC/WP-ContactForm%20XSS8.html
http://websecurity.com.ua/uploads/2007/MoBiC/WP-ContactForm%20CSRF9.html
http://websecurity.com.ua/uploads/2007/MoBiC/WP-ContactForm%20XSS9.html
Уязвима версия WP-ContactForm 2.0.7 (и предыдущие версии).
Дополнительная информация о данных уязвимостях у меня на сайте:
MoBiC-29 Bonus: XSS in WP-ContactForm
http://websecurity.com.ua/1600/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua