JomSocial Security patch for 1.6.x, 1.8.x and 2.0.x

[apabor]

Был обнаружен баг JomSocial v 1.6.x, 1.8.x and 2.0.x XSS attacks in video / comments

Impact: Moderate
Severity: High
Exploit type: XSS Injection
Reported Date: 2010-December-22
Fixed Date: 2010-December-22

Критическая уязвимость позволяла злоумышленникам выполнить XSS-атаку в комментариях к видео выполнить вредоносный код:

«script»alert(document.cookie)«script»


23 декабря 2010 в 06:57 мне сообщили о том что вышли патчи и поблагодарили за найденный баг.

The XSS is confirmed.
We've issued the Patch here: http://www.jomsocial.com/forum/index...rb_v=viewtopic

© ruzmanoff.com

[FoxTail]

Зачем вообще эти комментарии нужны к видео, тем более в социалке?

[apabor]

Цитата:

Сообщение от FoxTail

Зачем вообще эти комментарии нужны к видео, тем более в социалке?

Чтобы обсуждать их )) на от оно и комьюнити..

[FoxTail]

По мне так оно чисто, чтобы место на сервере занимать. Эх стирались бы они сами собой потом.

Меня немного удивило, что они о такой важной вещи не сообщили на почту.


Что-то не могу воткнуть это патч на ихний плагин wall, который я снес давным давно, или то что-то другое?

У в Jomcomments таких косяков не наблюдается?

Добавлено через 9 минут
Ещё раз спасибо, за найденный недочет.

[apabor]

я сам не понимаю эта шняга 150 бачей лицензия стоит лицензия ... дырка блин!!!
Jomcomments по стабильней конеш она на это и ориентирована.
В патче посмари файл да заменяемый