– Honlapkészítés, keresőoptimalizálás

WordPress eShop plugin v6.2.8

Felfedezés dátuma:

  • 2011-08-11

Összefoglaló:

  • A WordPress eShop plugin-jének sebezhetőségei váltak ismertté, amelyeket kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.

Leírás:

  1. A “eshoptemplate” paraméteren keresztül a wp-admin/admin.php-nak (amikor “page” értéke “eshop-templates.php”) átadott bemeneti adat nincs megfelelően megtisztítva, a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
  2. Az “action” és “viewemail” paramétereken keresztül a wp-admin/admin.php-nak (amikor “page” értéke “eshop-orders.php”) átadott bemeneti adatok nincsenek megfelelően megtisztítva, a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.

A sebezhetőséget a WordPress eShop plugin 6.2.8-as verziójában jelentették. Korábbi verziók is érintettek lehetnek.

Megoldás:

  • Frissítsen a WordPress eShop plugin 6.2.9-es vagy későbbi verziójára.

Érintett verziók:WordPress

  • WordPress eShop Plugin 6.x

Érintett rendszerek

  • eShop plugin
  • WordPress

Hatás

  • Loss of confidentiality (Bizalmasság elvesztése)
  • Loss of integrity (Sértetlenség elvesztése)

Biztonsági kockázat

  • Alacsony

Szükséges hozzáférés

  • Remote/Network (Távoli/hálózat)

Támadás típusa

  • Input manipulation (Bemenet módosítás)

Secunia Advisory SA45553

  • WordPress eShop Plugin Multiple Cross-Site Scripting Vulnerabilities

Érdekelheti még:

Kövess minket!
  • Kiemelt partner