Related information

Daily web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)

Yuhhu Pubs Black Cat Remote SQL Injection Exploit

Pluck Local File inclusion

Fuzzylime 3.01 Remote Code Execution Exploit

From:	MustLive <mustlive_(at)_websecurity.com.ua>
Date:	15.07.2008
Subject:	Vulnerabilities in phpWebSite

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Insufficient Anti-automation и Cross-Site Scripting
уязвимостях в phpWebSite.

Insufficient Anti-Automation:

На странице регистраций
(http://site/index.
php?module=users&action=user&command=signup_user) нет защиты от
автоматизированных запросов (капчи).

XSS:

POST запрос на странице
http://site/index.php?module=users&action=user&command=signup_user

"><BODY onload=alert(document.cookie)>
В полях: Password и Confirm (вместе), Email Address.

Уязвима версия phpWebSite 1.5.2 и предыдущие версии.

Дополнительная информация о данной уязвимости у меня на сайте:
http://websecurity.com.ua/2260/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua