|
Здравствуйте 3APA3A!
Сообщаю вам о найденной мною Insufficient Anti-automation уязвимости в MaxSite Anti Spam Image. Это капча плагин для WordPress.
Это переработанная версия оригинального плагина Anti Spam Image, об уязвимости в котором я писал в 2007 году в своём проекте MoBiC. Данная
капча уязвима для session reusing with constant captcha bypass method, как и оригинальный Anti Spam Image, на основе которого и сделан
данный плагин.
Insufficient Anti-automation (WASC-21):
Эксплоит:
http://websecurity.com.ua/uploads/2011/MaxSite%20Anti%20Spam%20Image%
20CAPTCHA%20bypass.html
Уязвимость имеет место на старых версиях PHP. Она проявляется лишь в PHP < 4.4.7, в которых есть баг, приводящий к ошибке в работе
алгоритма веб приложения, что приводит к возможности обхода капчи.
Уязвимы MaxSite Anti Spam Image 0.6 и потенциально все другие версии данного плагина.
Дополнительная информация о данной уязвимости у меня на сайте:
http://websecurity.com.ua/5045/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua
|
