Здравствуйте 3APA3A!
Сообщаю вам о найденных мною новых Insufficient
Anti-automation и Cross-Site Scripting уязвимостях в
системе PHP-Nuke.
Insufficient Anti-automation (WASC-21):
http://site/modules.php?name=Submit_News
В форме нет защиты от автоматизированных запросов
(капчи).
XSS (WASC-08):
http://site/modules.php?name=Submit_News
"><img src='’
">onerror="javascript:alert(document.cookie)
В поле Тема.
<img src='’
onerror="javascript:alert(document.cookie)">
В полях Аннотация и Основной текст статьи. Сработает
при использовании tinyMCE в форме.
Уязвимы PHP-Nuke 8.0 и предыдущие версии.
Дополнительная информация о данных уязвимостях у меня
на сайте:
http://websecurity.com.ua/4842/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua