LiveStreet 1.0.1 XSS(пассивная)

Блог им. HiMiC 
http://SITE.ru/personal_blog/top"%20onmouseover%3dalert(document.cookie)%20y%3d

http://SITE.ru/personal_blog/discussed"%20onmouseover%3dalert(document.cookie)%20y%3d


Заставляем перейти по ссылке:
LiveStreet XSS

Нажимаем на пагинацию:
LiveStreet XSS

Fix

изза неправильной обработки урла:
$this->AddEventPreg('/^discussed/i','/^(page([1-9]\d{0,5}))?$/i','EventTopics');
$this->AddEventPreg('/^top/i','/^(page([1-9]\d{0,5}))?$/i','EventTopics');

в переменную $sShowType=$this->sCurrentEvent; попадало всё что было между "/" и "/" 
top" onmouseover=alert(document.cookie) y=top" onmouseover=alert(document.cookie) y=


$this->AddEventPreg('/^discussed$/i','/^(page([1-9]\d{0,5}))?$/i','EventTopics');
$this->AddEventPreg('/^top$/i','/^(page([1-9]\d{0,5}))?$/i','EventTopics');


Fix для XSS
github.com/HiMiC/livestreet/commit/a1cc89a07f33f82d965f138e2c235d463d2a42ef

Еще добавлю. Раскрытие путей.

это фреймворк:
/templates/skin/default/settings/config/config.php

это git master 1.0.2 dev
Sinio
/templates/skin/synio/settings/config/config.php

Developer
/templates/skin/developer/settings/config/config.php

ну и видимо все другие шаблоны сделанные на их основе.

5 комментариев

avatar
этого топика я не видел в новых. как??
avatar
к сожалению тут дата создания топика в черновиках показывается. А на публике всего час.
avatar
да это же баг!
avatar
видимо и в ленту он попадает с задним числом.
avatar
добавил в гитхаб
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.