Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Arbitrary File Uploading и Code Execution уязвимостях в CMS WebManager-Pro (это украинская коммерческая CMS).
Arbitrary File Uploading (WASC-42):
В админке в разделе "файлы" (http://site/admin/files.php) возможна загрузка произвольных файлов.
Code Execution (WASC-31):
В админке в разделе "файлы" (http://site/admin/files.php) возможна загрузка php-скриптов. Это касается всех версий CMS WebManager-Pro от FGS_Studio, а также версий WebManager-Pro от WebManager до 7.0 включительно. Но встречаются сайты с данной CMS версии 7.0 и выше, где сделана защита (на уровне сайта) от исполнения php-скриптов, в таком случае возможен лишь Arbitrary File Uploading.
Уязвимы две системы CMS WebManager-Pro от двух разработчиков. Уязвимы версии CMS WebManager-Pro v.7.0 (версия от WebManager) и предыдущие версии, а также CMS WebManager-Pro v.7.4.3 (версия от FGS_Studio) и предыдущие версии.
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4362/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua