Cross-Site Scripting в phplist

Здравствуйте 3APA3A!

Сообщаю вам о найденной мною 04.10.2006 Cross-Site Scripting уязвимости в
phplist v 2.10.2 (<= 2.10.2) - популярной системе управления подписками.

Уязвимость в параметре unsubscribeemail в скрипте index.php системы phplist.

XSS:

http://host/phplist_path/?p=unsubscribe&amp;id=1&amp;unsubscribeemail=&#37;22&#37;3E&#37;3Cscript&#37;3Ealert&#40;document.cookie&#41;&#37;3C/script&#37;3E

Дополнительная информация о данной уязвимости у меня на сайте:
http://websecurity.com.ua/267/

Я уже сообщил об уязвимости разработчикам системы. И разработчик phplist уже
выпустил новую версию (phplist 2.10.3), с исправлением указанной мною
уязвимости. Всем пользователям системы phplist рекомендую обновить её до
последней версии.

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua