Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Information Leakage и Cross-Site Scripting уязвимостях в WOSendNews.
Information Leakage + Full access:
При запросе по адресу http://site/path/pass.dat доступны логин и пароль админа. С логином и паролем получается полный доступ к админке, с возможностью просмотра емайлов, добавления, удаления и изменения емайлов в БД, и рассылки спама на емайлы с админки.
Information Leakage:
При запросе по адресу http://site/path/emails.dat доступна БД емайлов.
XSS:
Уязвимы WOSendNews 1.5 и предыдущие версии.
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/2786/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua