Здравствуйте 3APA3A!
Сообщаю вам о найденных мною 03.11.2006 Cross-Site Scripting уязвимостях в движке WordPress 2.0.
Уязвимости в скрипте wp-register.php.
XSS:
POST запрос на странице http://site/wp-register.php:
"><script>alert(document.cookie)</script>
В полях: Имя пользователя и E-Mail.
Дополнительная информация о данной уязвимости у меня на сайте:
http://websecurity.com.ua/659/
Уязвимыми есть версии WordPress 2.0 и потенциально 2.0.1 и 2.0.2. WP 2.0.3 уже не уязвим к данным XSS. Как и все последующие версии WordPress от 2.0.4 до 2.1. Всем пользователям старых версий движка рекомендую перейти на его последние версии.
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua