Related information

Daily web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)

[DSECRG-08-036] Multiple Security Vulnerabilities in Freeway eCommerce 1.4.1.171

NewsHOWLER 1.03 Beta Cookie Handling Via Sql injection

PHP Live Helper <= 2.0.1 Multiple Vulnerabilities

munky-bliki lfi

From:	MustLive <mustlive_(at)_websecurity.com.ua>
Date:	18.08.2008
Subject:	Vulnerabilities in Envolution

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Cross-Site Scripting и Full path disclosure уязвимостях в системе
Envolution.

XSS:

Уязвимость в user.php (в модуле NS-NewUser) в параметре op.

http://site/user.php?module=NS-
NewUser&op=%3Cscript%3Ealert(document.
cookie)%3C/script%3E

Full path disclosure:

http://site/user.php?module=NS-NewUser&op=%3Cscript%3E

Уязвима версия Envolution 1.2.0 и предыдущие версии

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/2355/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua