Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Information disclosure уязвимостях в WordPress.
Это SQL DB Structure Extraction и Full path disclosure уязвимости.
SQL DB Structure Extraction:
http://site/?feed=rss2&p=1
Full path disclosure:
http://site/?feed=rss2&p=1
Где p - это id несуществующей записи (нужно указать номер несуществующего поста, чтобы возникли данные уязвимости). Среди сайтов где я обнаружил эти дырки, SQL DB Structure Extraction попадалась на всех, а Full path disclosure лишь на некоторых (это может зависеть от настроек WP).
Уязвимы версии WordPress 2.2.x и 2.3.x. Версии движка 2.0.x и 2.1.x не уязвимы (я проверил несколько версий данных веток WP).
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/1634/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua