Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Brute Force, Insufficient
Anti-automation и Abuse of Functionality уязвимостях в Silverstripe
CMS.
Brute Force (WASC-11):
Insufficient Anti-automation (WASC-21):
http://site/Security/lostpassword
В данных формах нет защиты от автоматизированных запросов (капчи).
Abuse of Functionality (WASC-42):
http://site/Security/lostpassword
В данном функционале можно выявлять емайлы пользователей, которые
являются логинами.
О Fingerprinting (WASC-45) уязвимости в данной CMS я написал
отдельно (http://websecurity.com.ua/5130/).
Уязвимы Silverstripe CMS 2.4.5 и предыдущие версии.
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/5026/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua