Computer Security

Security Advisory: Cross-Site Scripting vulnerability in Joostina
back  news / advisories / forum / software / advertising / search / exploits  forward
[EN] securityvulns.ru
no-pyccku



Related information

  Web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)

  Fwd: Wowd search client multiple variable xss

From:MustLive <mustlive_(at)_websecurity.com.ua>
Date:29.10.2009
Subject:Cross-Site Scripting vulnerability in Joostina

Здравствуйте 3APA3A!

Сообщаю вам о найденной мною Cross-Site Scripting уязвимости в Joostina CMS.

Данная уязвимость подобна XSS уязвимости, которую я в 2007 году нашёл в Joomla 1.0.x. Но в
отличии от Joomla, в Joostina нет ограничения на количество символов в строке поиска. Что
позволяет использовать её для более мощных XSS атак.

XSS:

Уязвимость в поиске по сайту в параметре searchword.

http://site/index.php?option=com_search&searchword=';alert(document.
cookie)//

Для исполнения кода, пользователь должен сменить количество результатов поиска на одну страницу.

Уязвимы версии Joostina 1.x.

Дополнительная информация о данной уязвимости у меня на сайте:
http://websecurity.com.ua/3633/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua
About | Terms of use | Privacy Policy
© SecurityVulns, 3APA3A, Vladimir Dubrovin
Nizhny Novgorod

 
 


Rating@Mail.ru
test server