Новые уязвимости в eSitesBuilder

2010-12-17T00:00:00
ID SECURITYVULNS:DOC:25337
Type securityvulns
Reporter Securityvulns
Modified 2010-12-17T00:00:00

Description

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною новых Cross-Site Scripting, Insufficient Anti-automation и Abuse of Functionality уязвимостях eSitesBuilder. Это украинская коммерческая CMS - движок для онлайн магазинов.

XSS (WASC-08):

http://site/console/forget.php?e_mail=%3Cscript%3Ealert(document.cookie)%3C/script%3E&seenform=y

Insufficient Anti-automation (WASC-21):

http://site/console/forget.php

На данной странице нет защиты от автоматизированных запросов (капчи).

Abuse of Functionality (WASC-42):

http://site/console/forget.php

Через данный функционал можно определять логины пользователей.

Уязвимы потенциально все версии eSitesBuilder.

Дополнительная информация о данных уязвимостях у меня на сайте: http://websecurity.com.ua/4588/

Best wishes & regards, MustLive Администратор сайта http://websecurity.com.ua