Felfedezés dátuma:
- 2011-08-11
Összefoglaló:
- A WordPress eShop plugin-jének sebezhetőségei váltak ismertté, amelyeket kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.
Leírás:
- A “eshoptemplate” paraméteren keresztül a wp-admin/admin.php-nak (amikor “page” értéke “eshop-templates.php”) átadott bemeneti adat nincs megfelelően megtisztítva, a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
- Az “action” és “viewemail” paramétereken keresztül a wp-admin/admin.php-nak (amikor “page” értéke “eshop-orders.php”) átadott bemeneti adatok nincsenek megfelelően megtisztítva, a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
A sebezhetőséget a WordPress eShop plugin 6.2.8-as verziójában jelentették. Korábbi verziók is érintettek lehetnek.
Megoldás:
- Frissítsen a WordPress eShop plugin 6.2.9-es vagy későbbi verziójára.
- WordPress eShop Plugin 6.x
Érintett rendszerek
- eShop plugin
- WordPress
Hatás
- Loss of confidentiality (Bizalmasság elvesztése)
- Loss of integrity (Sértetlenség elvesztése)
Biztonsági kockázat
- Alacsony
Szükséges hozzáférés
- Remote/Network (Távoli/hálózat)
Támadás típusa
- Input manipulation (Bemenet módosítás)
- WordPress eShop Plugin Multiple Cross-Site Scripting Vulnerabilities
Érdekelheti még:
WordPress WP e-Commerce plugin v3.8.6.
A WordPress WP e-Commerce Plugin olyan sebezhetősége vált ismertté, am...
A WordPress WP e-Commerce Plugin olyan sebezhetősége vált ismertté, am...
WordPress Cms Pack plugin v1.3
A WordPress Cms Pack bővítmény olyan sebezhetősége vált ismertté, amel...
A WordPress Cms Pack bővítmény olyan sebezhetősége vált ismertté, amel...
WordPress UnGallery plugin v1.5
A WordPress UnGallery plugin-jének sebezhetőségei váltak ismertté, ame...
A WordPress UnGallery plugin-jének sebezhetőségei váltak ismertté, ame...
WordPress Verve Meta Boxes plugin v1.2.8
A WordPress Verve Meta Boxes bővítmény olyan sebezhetősége vált ismert...
A WordPress Verve Meta Boxes bővítmény olyan sebezhetősége vált ismert...