Cross-Site Scripting vulnerability in CoBreeder

Здравствуйте 3APA3A!

Сообщаю вам о найденной мною Cross-Site Scripting уязвимости в системе
CoBreeder.

XSS:

http://site/%22style=%22xss:expression(alert(document.cookie))%22/*

Вариант для IE (можно также во всех браузерах через onMouseOver) для
сайтов на PHP <= 5.2.4.

http://site/&quot;style=&quot;xss:expression&#40;alert&#40;document.cookie&#41;&#41;&quot;/*

Вариант для IE для сайтов на любых версиях PHP.

На PHP > 5.2.4 данная уязвимость работает лишь в IE, когда посылать
запрос с кавычками в ASCII, а не UTF-8 формате. XSS атака происходит
через PHP_SELF.

Уязвима версия coBreeder 2005 и предыдущие версии.

Дополнительная информация о данной уязвимости у меня на сайте:
http://websecurity.com.ua/2092/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua