Здравствуйте 3APA3A!
Сообщаю вам о найденных мною новых Cross-Site Scripting, Insufficient Anti-automation и Abuse of Functionality уязвимостях
eSitesBuilder. Это украинская коммерческая CMS - движок для онлайн магазинов.
XSS (WASC-08):
Insufficient Anti-automation (WASC-21):
http://site/console/forget.php
На данной странице нет защиты от автоматизированных запросов (капчи).
Abuse of Functionality (WASC-42):
http://site/console/forget.php
Через данный функционал можно определять логины пользователей.
Уязвимы потенциально все версии eSitesBuilder.
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4588/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua