Cross-Site Scripting в phplist

2006-10-12T00:00:00
ID SECURITYVULNS:DOC:14640
Type securityvulns
Reporter Securityvulns
Modified 2006-10-12T00:00:00

Description

Здравствуйте 3APA3A!

Сообщаю вам о найденной мною 04.10.2006 Cross-Site Scripting уязвимости в phplist v 2.10.2 (<= 2.10.2) - популярной системе управления подписками.

Уязвимость в параметре unsubscribeemail в скрипте index.php системы phplist.

XSS:

http://host/phplist_path/?p=unsubscribe&id=1&unsubscribeemail=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Дополнительная информация о данной уязвимости у меня на сайте: http://websecurity.com.ua/267/

Я уже сообщил об уязвимости разработчикам системы. И разработчик phplist уже выпустил новую версию (phplist 2.10.3), с исправлением указанной мною уязвимости. Всем пользователям системы phplist рекомендую обновить её до последней версии.

Best wishes & regards, MustLive Администратор сайта http://websecurity.com.ua