Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Cross-Site Scripting и Full
path disclosure уязвимостях в xAjax и xajax_jquery_plugin.
XSS (WASC-08):
http://site/cms/’;alert(document.cookie);/*
Это DOM Based XSS. Данная уязвимость в частности имеет
место в MC Content Manager (которая использует xAjax).
Full path disclosure (WASC-13):
http://site/xajax_core/legacy.inc.php
http://site/xajax_core/xajax_lang_de.inc.php
http://site/xajax_core/xajax_lang_nl.inc.php
http://site/xajax_core/plugin_layer/xajaxCallableObjectPlugin.inc.php
http://site/xajax_core/plugin_layer/xajaxDefaultIncludePlugin.inc.php
http://site/xajax_core/plugin_layer/xajaxEventPlugin.inc.php
http://site/xajax_core/plugin_layer/xajaxFunctionPlugin.inc.php
http://site/xajax_core/plugin_layer/xajaxScriptPlugin.inc.php
http://site/xajax_core/plugin_layer/xajaxDefaultRequestProcessorPlugin.inc.php
http://site/jquery.php
http://site/demo.php
Файлы jquery.php и demo.php относятся к
xajax_jquery_plugin. Данные уязвимости имеют место на
разных веб сайтах и в разных веб приложения, что
используют xAjax и xajax_jquery_plugin.
Уязвимы потенцийально все версии xAjax. Уязвимы все
версии xajax_jquery_plugin.
Дополнительная информация о данных уязвимостях у меня на
сайте:
http://websecurity.com.ua/4661/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua