Lucene search

K
securityvulnsSecurityvulnsSECURITYVULNS:DOC:22709
HistoryOct 29, 2009 - 12:00 a.m.

Cross-Site Scripting vulnerability in Joostina

2009-10-2900:00:00
vulners.com
10

Здравствуйте 3APA3A!

Сообщаю вам о найденной мною Cross-Site Scripting уязвимости в Joostina CMS.

Данная уязвимость подобна XSS уязвимости, которую я в 2007 году нашёл в Joomla 1.0.x. Но в
отличии от Joomla, в Joostina нет ограничения на количество символов в строке поиска. Что
позволяет использовать её для более мощных XSS атак.

XSS:

Уязвимость в поиске по сайту в параметре searchword.

http://site/index.php?option=com_search&searchword=';alert(document.cookie)//

Для исполнения кода, пользователь должен сменить количество результатов поиска на одну страницу.

Уязвимы версии Joostina 1.x.

Дополнительная информация о данной уязвимости у меня на сайте:
http://websecurity.com.ua/3633/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua