Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Cross-Site Scripting, Full path
disclosure, Abuse of Functionality и Denial of Service уязвимостях во
многих темах для ExpressionEngine.
Уязвимыми являются следующие темы для ExpressionEngine: Fresh News,
Inspire, City Guide, Delegate, Optimize, Bueno, Headlines, Daily
Edition, Coffee Break, The Station, Over Easy. Это коммерческие
шаблоны для ExpressionEngine от WooThemes.
Cross-Site Scripting (WASC-08), Full path disclosure (WASC-13), Abuse
of Functionality (WASC-42) и Denial of Service (WASC-10) уязвимости в
данных темах такие же самые как и в ранее упомянутых 90 темах для
WordPress и 10 темах для Drupal. Потому что данные шаблоны содержат
TimThumb, об уязвимостях в котором я писал ранее
(http://websecurity.com.ua/4910/).
Уязвимы версии данных шаблонов с TimThumb 1.24 и предыдущими
версиями. Кроме данных тем от WooThemes уязвимыми также могут быть
другие темы для ExpressionEngine (с TimThumb) от других разработчиков.
Имя уязвимого скрипта в шаблонах может быть thumb.php или другое.
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4985/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua