[psycho]

ציטוט:

נכתב במקור על ידי omercnet

הבעייה היא שWEBMOD זה פלאגין דפוק.
יש כל כך הרבה בעיות אבטחה איתו שזה לא נורמאלי.

מה שקורה הוא שמישהו שם טאג בשם שלו, ואז זה מופיע בWEBMOD בלי שום סינון, וזה אומר שאפשר לשתול קוד בעמוד, ולעשות מה שרוצים על השרת.
אני כבר גיליתי את הבעיה הזאת לפני כמה חודשים טובים, לא דיווחתי כי אני יודע שכבר הפסיקו את הפיתוח ואין סיכוי שיוציאו גרסא מתוקנת.
והנה עוד מישהו עלה על זה, ומנצל את זה.

אפשר לעשות דברים הרבה יותר גרועים, אפילו להשתלט על כל הקוספא שעליה מורץ WEBMOD, כבר התרעתי כמה פעמים על הנושא, אני ממליץ לכולם להפסיק להשתמש במוד הזה.

עומר, מלא חולשות פומביות יצאו כבר לפני כמה חודשים טובים,
ההרצת JS וכו' לא פורסמו.. אבל לא היה קשה לגלות
בכל מקרה, עדיין אין אקספלויט פומבי של הרצת קוד עם ה STACK OVERFLOW שיש ב
WEBMOD

אגב, מדובר באופן-סורס אם אני לא טועה, ויצאו כמה פאטצים לא רשמיים ..


מצחיק שמישו כתב תולעת CS זה לא רע דווקא הרעיון..