Felfedezés dátuma:
- 2011-09-08
Összefoglaló:
- A WordPress Community Events plugin olyan sebezhetőségei váltak ismertté, amelyet a támadók kihasználhatnak cross-site scripting (CSS/XSS) és SQL beszúrásos (SQL injection) támadások végrehajtására.
Leírás:
- Az “id” paraméteren keresztül a wp-content/plugins/community-events/tracker.php-nek átadott bemeneti adat nincs megfelelően tisztázva a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében egy érintett oldallal kapcsolatosan.
- Az “id” paraméteren keresztül a wp-content/plugins/community-events/tracker.php-nek átadott bemeneti adat nincs megfelelően tisztázva SQL lekérdezésekben történő használat előtt. Ez kihasználható az SQL lekérdezések módosítására tetszőleges SQL kód befecskendezésével.
- A sebezhetőséget a WordPress Community Events plugin v1.2.2-es verziójában jelentették, egyéb verziók is érintettek lehetnek.
Megoldás:
- Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében
Érintett verziók:
- WordPress Community Events plugin 2.x
- Community Events plugin
- WordPress
Hatás:
- Loss of confidentiality (Bizalmasság elvesztése)
- Loss of integrity (Sértetlenség elvesztése)
Biztonsági kockázat:
- Mérsékelt
Szükséges hozzáférés:
- Remote/Network (Távoli/hálózat)
Támadás típusa:
- Input manipulation (Bemenet módosítás)
Érdekelheti még:
WordPress SH Slideshow plugin v3.1.4
A WordPress SH Slideshow pluginnak olyan sebezhetősége vált ismertté, ...
A WordPress SH Slideshow pluginnak olyan sebezhetősége vált ismertté, ...
A jövő emlékei: ITBN 2011
Nem is olyan régen egy nem is olyan messzi galaxisban nehéz volt az IT...
Nem is olyan régen egy nem is olyan messzi galaxisban nehéz volt az IT...
WordPress Contus HD FLV Player plugin v1.3
A WordPress Contus HD FLV Player pluginnak olyan sebezhetőségeit fedez...
A WordPress Contus HD FLV Player pluginnak olyan sebezhetőségeit fedez...
WordPress WP-Filebase plugin v0.2.9
A WordPress WP-Filebase beépülő moduljának sebezhetősége vált ismertté...
A WordPress WP-Filebase beépülő moduljának sebezhetősége vált ismertté...