Уязвимости в PHP-Nuke

19.05.2008

В октябре, 21.10.2007, я нашел Cross-Site Scripting уязвимости в системе PHP-Nuke. Дырки я обнаружил на ее официальном сайте http://phpnuke.org

Данные уязвимости я обнаружил как раз когда нашел две Insufficient Anti-automation уязвимости в данной системе, о чем я писал в записях MoBiC-10: PHP -Nuke CAPTCHA bypass и MoBiC-10 Bonus: another PHP-Nuke CAPTCHA bypass

Подробная информация об уязвимости появится позже. Сначала сообщу разработчикам системы

23.06.2008

XSS:

POST запрос на странице http://site/modules.php?name=Your_Account & op = new_user (# )

“> В полях: gfx_check и random_num

Експлоит:

PHP-Nuke CAPTCHA bypass + XSS.html

уязвимые версии PHP-Nuke 7.7 и 8.1

Websecurity – Безпека веб-додатків та веб-систем