Related information

Web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)

CVE-2010-3700: Spring Security bypass of security constraints

Joomla 1.5.21 | Potential SQL Injection Flaws

From:	MustLive <mustlive_(at)_websecurity.com.ua>
Date:	01.11.2010
Subject:	XSS и SQL Injection уязвимости в CMS WebManager-Pro

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Cross-Site Scripting и SQL Injection уязвимостях в CMS WebManager-Pro (это украинская коммерческая CMS).

XSS (WASC-08):

http://site/index.php?word[]=%22%20onMouseOver=alert(document.
cookie)%20

SQL Injection (Authentication Bypass) (WASC-19):

На странице http://site/admin/ при отключенных mq:

' or 1='1
В поле Логин.

Уязвимы CMS WebManager-Pro v.7.4.3 (версия от FGS_Studio) и предыдущие версии.

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4414/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua