В январе, 20.01.2008, я нашел Cross-Site Scripting уязвимости в системе Fusebox Framework. Что в ближайшее время извещу разработчиков системы
XSS:
POST запрос на странице http://site
В поле: Search
уязвимые потенциально все версии Fusebox Framework
Уязвимость обнаружил на официальном сайте движка http://www.fusebox.org. Сейчас уязвимость на сайте не работает, потому что админу поставили WAF dotDefender (в котором я также находил дыры, о чем напишу отдельно). Что не является оптимальным выбором, когда вместо исправления дыр прячутся за ВАФамы. И после того как WAF будут обойдены, уязвимости вновь начинают работать.
