Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Cross-Site Scripting уязвимостях в системе MC Content Manager. Это украинская коммерческая CMS.
XSS (WASC-08):
Уязвимости на страницах регистрации и восстановления пароля.
http://websecurity.com.ua/uploads/2011/MC%20Content%20Manager%20XSS.html
http://websecurity.com.ua/uploads/2011/MC%20Content%20Manager%20XSS2.html
http://websecurity.com.ua/uploads/2011/MC%20Content%20Manager%20XSS3.html
Abuse of Functionality (WASC-42):
На страницах регистрации и восстановления пароля можно определять емайлы пользователей (которые являются логинами).
Insufficient Anti-automation (WASC-21):
Хотя капчи используются на данных страницах, но для определения емайлов (логинов) пользователей не нужно вводить корректную капчу.
Уязвимы потенциально все версии MC Content Manager (MC Content Manager v.10.1.1 и предыдущие версии).
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4869/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua