Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Insufficient Anti-automation и Cross-Site Scripting уязвимостях в CMS WebManager-Pro. Это украинская
коммерческая CMS.
Insufficient Anti-automation (WASC-21):
На странице контактов (http://site/index.php?menu_id=x) нет защиты от автоматизированных запросов (капчи).
XSS (WASC-08):
POST запрос на странице контактов (http://site/index.php?menu_id=x)
<script>alert(document.cookie)</script>
В полях: ФИО, E-mail, Телефон, Тема письма, Текст.
Уязвимы CMS WebManager-Pro v.7.4.3 (версия от FGS_Studio) и предыдущие версии.
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4831/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua