Здравствуйте 3APA3A!
Сообщаю вам о найденных мною новых Full path disclosure и Cross-Site Scripting уязвимостях в
системе Envolution.
Full path disclosure:
http://site/user.php?module=%22
http://site/user.php?uname=%22
http://site/user.php?upass=%22
http://site/user.php?upassverif=%22
http://site/user.php?email=%22
http://site/user.php?name=%22
http://site/user.php?url=%22
http://site/user.php?timezoneoffset=%22
http://site/user.php?user_avatar=%22
http://site/user.php?user_icq=%22
http://site/user.php?user_aim=%22
http://site/user.php?user_yyim=%22
http://site/user.php?user_msnm=%22
http://site/user.php?user_from=%22
http://site/user.php?user_occ=%22
http://site/user.php?user_intrest=%22
http://site/user.php?user_sig=%22
http://site/user.php?bio=%22
http://site/user.php?agreetoterms=%22
http://site/user.php?femail=%22
http://site/user.php?user_viewemail=%22
XSS:
Уязвима версия Envolution 1.2.0 и предыдущие версии.
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/2362/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua