– Honlapkészítés, keresőoptimalizálás

WordPress Mimbo Pro sablon v2.3.1

Felfedezés dátuma: 2011-04-19

Összefoglaló: A WordPress Mimbo Pro sablon olyan sebezhetőségei váltak ismertté, amelyeket a támadók kihasználhatnak cross-site scripting (CSS/XSS) támadások és szolgáltatás megtagadás (DoS – Denial of Service) indítására.

Leírás:

  • A sebezhetőségeket a mellékelt TimThumb hibái okozzák.
  1. A thimthumb.php-ben az “src” paraméternek átadott bemenet nem kerül megfelelően ellenőrzésre, mielőtt a felhasználó részére visszaküldésre kerülne. Ez kihasználható az érintett oldal felhasználói böngésző munkamenetében történő tetszőleges HTML és script kód futtatására.
  2. A thimthumb.php-ben az URL lekérdező stringnek átadott nem részletezett bemenet nem kerül megfelelően ellenőrzésre, mielőtt a felhasználó részére visszaküldésre kerülne. Ez kihasználható az érintett oldal felhasználói böngésző munkamenetében történő tetszőleges HTML és script kód futtatására.
  3. Az alkalmazás nem kezeli megfelelően a túlságosan nagy távoli képadatokat. Ezt kihasználva szolgáltatás megtagadás (Dos) okozható.
  4. Az alkalmazás helytelenül dolgozza fel a képméretező függvények nem megfelelően átadott, túlságosan nagy képméreteket. Ezt kihasználva szolgáltatás megtagadás (Dos) okozható.

A sebezhetőséget a Mimbo Pro sablon v2.3.1-es verziójában jelentették, de más verziók is érintettek lehetnek.

Megoldás:

  • Frissítsen a legújabb verzióra

Érintett verziók: WordPress

  • WordPress Mimbo Pro theme

Érintett rendszerek

  • Mimbo Pro sablon
  • WordPress

Hatás

  • Loss of availability (Elérhetőség elvesztése)
  • Loss of confidentiality (Bizalmasság elvesztése)
  • Loss of integrity (Sértetlenség elvesztése)

Biztonsági kockázat

  • Alacsony

Szükséges hozzáférés

  • Remote/Network (Távoli/hálózat)

Támadás típusa

  • Deny of service (Szolgáltatás megtagadás)
  • Input manipulation (Bemenet módosítás)

Secunia Advisory SA44126

  • TimThumb Cross-Site Scripting and Denial of Service Vulnerabilities

Secunia Advisory SA44235

  • WordPress Mimbo Pro Theme Cross-Site Scripting and Denial of Service Vulnerabilities

Kedves Érdeklődők!

2017. augusztusától bizonytalan ideig nem fogadunk új megrendeléseket.

Megértésüket köszönjük!

Kövess minket!