Related information

Daily web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)

[DSECRG-08-027] Multiple RFI-LFI in 1024 CMS 1.4.3, 1.4.4 RFC

Xpoz SQL-INJECTION, XSS.

From:	MustLive <mustlive_(at)_websecurity.com.ua>
Date:	04.07.2008
Subject:	Vulnerabilities in SLAED CMS

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Insufficient Anti-automation и Cross-Site Scripting уязвимостях в SLAED CMS.

Insufficient Anti-Automation:

Уязвимости в капче системы, которая уязвима к двум методам обхода.

Эксплоиты:

http://websecurity.com.ua/uploads/2008/SLAED%20CMS%20CAPTCHA%20bypass
.html

http://websecurity.com.ua/uploads/2008/SLAED%20CMS%20CAPTCHA%20bypass
2.html

XSS:

POST запрос на странице http://site/index.php?name=Account&op=new_user

"><script src=http://site/script.js>
В полях: gfx_check и random_num.

Эксплоит:

http://websecurity.com.ua/uploads/2008/SLAED%20CMS%20CAPTCHA%20bypass
%20+%20XSS.html

Уязвима версия SLAED CMS Lite 2.5 до 25.11.2007 и предыдущие версии.

Дополнительная информация о данной уязвимости у меня на сайте:
http://websecurity.com.ua/2181/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua