Felfedezés dátuma:
- 2011-08-19
Összefoglaló:
- A WordPress Menu Creator plugin egy sebezhetőségét jelentették, amelyet kihasználva a támadók SQL befecskendezéses (SQL injection) támadást indíthatnak.
Leírás:
- A “menu_id” paraméteren keresztül átadott bementi adat a wp-content/plugins/wp-menu-creator/updateSortOrder.php fájlnak nincs megfelelően megtisztítva, mielőtt SQL lekérdezésben felhasználásra kerülne. Ez kihasználható az SQL lekérdezések módosítására, tetszőleges SQL kód befecskendezésével.
- A sebezhetőséget a WordPress Menu Creator plugin v1.1.7-es verziójában jelentették, de egyéb kiadások is érintve lehetnek.
Megoldás:
- Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében
Érintett verziók:
- WordPress Menu Creator Plugin 1.x
Érintett rendszerek:
- Menu Creator plugin
- WordPress
Hatás:
- Loss of confidentiality (Bizalmasság elvesztése)
- Loss of integrity (Sértetlenség elvesztése)
Biztonsági kockázat:
- Mérsékelt
Szükséges hozzáférés:
- Remote/Network (Távoli/hálózat)
Támadás típusa:
- Input manipulation (Bemenet módosítás)
- WordPress Menu Creator Plugin “menu_id” SQL Injection Vulnerability
Érdekelheti még:
WordPress AllWebMenus plugin v1.1.3
A WordPress AllWebMenus plugin olyan sebezhetősége vált ismertté, amel...
A WordPress AllWebMenus plugin olyan sebezhetősége vált ismertté, amel...
WordPress SodaHead Polls Plugin v2.0.2
WordPress SodaHead Polls plugin két olyan sebezhetőségét jelentették, ...
WordPress SodaHead Polls plugin két olyan sebezhetőségét jelentették, ...
WordPress Lazyest Gallery Plugin v1.0.28
A WordPress Lazyest Gallery bővítményének olyan sebezhetőséget jelente...
A WordPress Lazyest Gallery bővítményének olyan sebezhetőséget jelente...
ITBN 2012 előzetes program
Az ITBN 2012 sok szakmai meglepetést tartogat számunkra. A 2012-es év ...
Az ITBN 2012 sok szakmai meglepetést tartogat számunkra. A 2012-es év ...
