Felfedezés dátuma: 2011-03-10
Összefoglaló: A WordPress Lazyest Gallery bővítményének olyan sebezhetőséget jelentették, amelyet a támadók kihasználva cross-site scripting (CSS/XSS) támadásokat hajthatnak végre.
Leírás:
- Az “image” paraméterrel a wp-content/plugins/lazyest-gallery/lazyest-popup.php-nek átadott bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.
A sebezhetőséget a Lazyest Gallery plugin v1.0.28-as verziónál jelentették. Más verziók is érintettek lehetnek.
Megoldás:
- Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében
Érintett verziók:
- WordPress Lazyest Gallery plugin 1.x
Érintett rendszerek
- Lazyest Gallery plugin
- WordPress
Hatás
- Loss of confidentiality (Bizalmasság elvesztése)
- Loss of integrity (Sértetlenség elvesztése)
Biztonsági kockázat
- Alacsony
Szükséges hozzáférés
- Remote/Network (Távoli/hálózat)
Támadás típusa
- Input manipulation (Bemenet módosítás)
Secunia Advisory: SA43661
- WordPress Lazyest Gallery Plugin “image” Cross-Site Scripting Vulnerability
Érdekelheti még:
WordPress Placester plugin v0.1.0
A WordPress Placester bővítményének olyan sebezhetőségét jelentették, ...
A WordPress Placester bővítményének olyan sebezhetőségét jelentették, ...
WordPress Zingiri Web Shop plugin 2.2.1
A WordPress Zingiri Web Shop plugin olyan sebezhetősége vált ismertté,...
A WordPress Zingiri Web Shop plugin olyan sebezhetősége vált ismertté,...
WordPress Auto Attachments plugin v0.3
A WordPress Auto Attachments bővítmény olyan sebezhetősége vált ismert...
A WordPress Auto Attachments bővítmény olyan sebezhetősége vált ismert...
ITBN 2013 előzetes
A megfigyelési botránytól a leterheléses támadásokig sok érdekes témát...
A megfigyelési botránytól a leterheléses támadásokig sok érdekes témát...
