Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Cross-Site Scripting, Full path
disclosure, Abuse of Functionality и Denial of Service уязвимостях во
многих темах для Drupal.
Уязвимыми являются следующие темы для Drupal: Fresh News, Inspire,
Spectrum, Delegate, Optimize, Bueno, Headlines, Daily Edition, Coffee
Break, The Gazette Edition. Это коммерческие шаблоны для Drupal от
WooThemes.
Cross-Site Scripting (WASC-08), Full path disclosure (WASC-13), Abuse
of Functionality (WASC-42) и Denial of Service (WASC-10) уязвимости в
данных темах такие же самые как и в ранее упомянутых 90 темах для
WordPress от двух разработчиков. Потому что данные шаблоны содержат
TimThumb, об уязвимостях в котором я писал ранее
(http://websecurity.com.ua/4910/).
Уязвимы версии данных шаблонов с TimThumb 1.24 и предыдущими
версиями. Кроме данных тем от WooThemes уязвимыми также могут быть
другие темы для Drupal (с TimThumb) от других разработчиков (и таких
тем немало). Если в шаблонах от WooThemes файл называется thumb.php,
то в других шаблонах могут использоваться другие имена файла, в
частности timthumb.php.
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4982/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua