Bueno aqui lo encuentran en ingles -> http://chxsecurity.org/advisories/adv-2-mid.txt
A pedido de musashi lo comentare en castellano
veran al parecer el admin puede insertar un email template tipo tgl el cual nunca es verificado si el admin forzara la extension podria poner cuanto codigo quisiera como ser php,js,xml,etc.
lo que describe el advisory es que cualquier atacante mediance Cross-site Request Forgery podria inducir al admin a crear un archivo malicioso, para luego ir por el sitio.
otra cosa que destaco es que las password en la db se almacenan en texto plano lo que considero es un error de un saque e conseguido mas de 5mil contraseñas solo con 4 paginas
Suscribirse a:
Enviar comentarios (Atom)
3 comentarios:
Felicidades Pepe, me has dejado flipando...
bufff
lo probamos y brutal...
Pepe... vos si que sos groso!!!
Publicar un comentario