Related information

Daily web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)

file upload exploit

Keld: PHP-MySQL News Script 0.7.1 Remote SQL injection Vulnerability

TGS CMS Remote Code Execution Exploit

UNAK-CMS Lfi

From:	MustLive <mustlive_(at)_websecurity.com.ua>
Date:	04.08.2008
Subject:	Vulnerabilities in Smeego

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Insufficient Anti-automation и Cross-Site Scripting
уязвимостях в Smeego.

Insufficient Anti-Automation:

Уязвимость на странице http://site/index.php?name=Your_Account&op=new_user

http://websecurity.com.ua/uploads/2008/Smeego%20Insuficient%20Anti-automa
tion.html

XSS:

POST запрос на странице http://site/index.php?name=Your_Account&op=new_user

"><script src=http://site/script.js>
В полях: gfx_check и random_num.

http://websecurity.com.ua/uploads/2008/Smeego%20XSS.html

Уязвимы потенциально все версии Smeego CMS (последняя Smeego 1.1 и предыдущие версии).

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/2317/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua