Computer Security

Security Advisory: Insufficient Anti-automation and Abuse of Functionality vulnerabilities in ALFcontact for Joomla
back  news / advisories / forum / software / advertising / search / exploits  forward
[EN] securityvulns.ru
no-pyccku



Related information

  Web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)

  DWebPro allow an invader to execute any program at server side

From:MustLive <mustlive_(at)_websecurity.com.ua>
Date:17.10.2009
Subject:Insufficient Anti-automation and Abuse of Functionality vulnerabilities in ALFcontact for Joomla

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Insufficient Anti-automation и Abuse of Functionality уязвимостях в
компоненте ALFcontact (com_alfcontact) для Joomla.

Insufficient Anti-automation:

http://site/option,com_alfcontact/

На странице контактов нет защиты от автоматизированных запросов (капчи).

Abuse of Functionality:

http://site/option,com_alfcontact/

Опция “Send copy to own email address” на странице контактов позволяет рассылать спам с сайта.

Уязвимы разные версии ALFcontact. К первой дыре уязвимы старые версии, до ALFcontact 1.8 в
которой появилась капча (в случае если она активирована), а ко второй дыре уязвимы все версии.

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/3467/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua
About | Terms of use | Privacy Policy
© SecurityVulns, 3APA3A, Vladimir Dubrovin
Nizhny Novgorod

 
 


Rating@Mail.ru
test server