IL и XSS уязвимости во многих темах для WordPress

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Information Leakage и Cross-Site
Scripting уязвимостях во многих темах для WordPress.

В разных шаблонах имеется test.php - скрипт с phpinfo() - что
приводит к Information Leakage (утечка FPD и другой важной информации
о сервере) и XSS (в PHP < 4.4.1, 4.4.3-4.4.6).

Information Leakage (WASC-13):

http://site/wp-content/themes/_theme&#39;s_name_/includes/test.php

XSS (WASC-08):

http://site/wp-content/themes/_theme&#39;s_name_/includes/test.php?a[]=&#37;3Cscript&#37;3Ealert&#40;document.cookie&#41;&#37;3C/script&#37;3E

Для Live Wire скрипт размещается по адресу
http://site/wp-content/themes/livewire/includes/test.php, для других
тем аналогично.

Уязвимы следующие темы от WooThemes: Live Wire (все три темы Live
Wire серии), Gotham News, Typebased, Blogtheme, VibrantCMS, Fresh
News, The Gazette Edition, NewsPress, The Station, The Original
Premium News, Flash News, Busy Bee, Geometric. Возможны и другие
уязвимые шаблоны для WP.

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/5071/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua