Дополнительная информация

Ежедневная сводка уязвимостей безопасности в Web-приложениях (PHP, ASP, JSP, CGI, Perl)

Yuhhu Pubs Black Cat Remote SQL Injection Exploit

Pluck Local File inclusion

Fuzzylime 3.01 Remote Code Execution Exploit

From:	MustLive <mustlive_(at)_websecurity.com.ua>
Date:	15 июля 2008 г.
Subject:	Vulnerabilities in phpWebSite

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Insufficient Anti-automation и Cross-Site Scripting
уязвимостях в phpWebSite.

Insufficient Anti-Automation:

На странице регистраций
(http://site/index.
php?module=users&action=user&command=signup_user) нет защиты от
автоматизированных запросов (капчи).

XSS:

POST запрос на странице
http://site/index.php?module=users&action=user&command=signup_user

"><BODY onload=alert(document.cookie)>
В полях: Password и Confirm (вместе), Email Address.

Уязвима версия phpWebSite 1.5.2 и предыдущие версии.

Дополнительная информация о данной уязвимости у меня на сайте:
http://websecurity.com.ua/2260/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua