Lucene search

K
securityvulnsSecurityvulnsSECURITYVULNS:DOC:26022
HistoryMar 31, 2011 - 12:00 a.m.

Уязвимость в MaxSite Anti Spam Image

2011-03-3100:00:00
vulners.com
10

Здравствуйте 3APA3A!

Сообщаю вам о найденной мною Insufficient Anti-automation уязвимости в MaxSite Anti Spam Image. Это капча плагин для WordPress.

Это переработанная версия оригинального плагина Anti Spam Image, об уязвимости в котором я писал в 2007 году в своём проекте MoBiC. Данная
капча уязвима для session reusing with constant captcha bypass method, как и оригинальный Anti Spam Image, на основе которого и сделан
данный плагин.

Insufficient Anti-automation (WASC-21):

Эксплоит:

http://websecurity.com.ua/uploads/2011/MaxSite%20Anti%20Spam%20Image%20CAPTCHA%20bypass.html

Уязвимость имеет место на старых версиях PHP. Она проявляется лишь в PHP < 4.4.7, в которых есть баг, приводящий к ошибке в работе
алгоритма веб приложения, что приводит к возможности обхода капчи.

Уязвимы MaxSite Anti Spam Image 0.6 и потенциально все другие версии данного плагина.

Дополнительная информация о данной уязвимости у меня на сайте:
http://websecurity.com.ua/5045/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua