WordPress Mimbo Pro sablon v2.3.1

Felfedezés dátuma: 2011-04-19

Összefoglaló: A WordPress Mimbo Pro sablon olyan sebezhetőségei váltak ismertté, amelyeket a támadók kihasználhatnak cross-site scripting (CSS/XSS) támadások és szolgáltatás megtagadás (DoS – Denial of Service) indítására.

Leírás:

• A sebezhetőségeket a mellékelt TimThumb hibái okozzák.

1. A thimthumb.php-ben az “src” paraméternek átadott bemenet nem kerül megfelelően ellenőrzésre, mielőtt a felhasználó részére visszaküldésre kerülne. Ez kihasználható az érintett oldal felhasználói böngésző munkamenetében történő tetszőleges HTML és script kód futtatására.
2. A thimthumb.php-ben az URL lekérdező stringnek átadott nem részletezett bemenet nem kerül megfelelően ellenőrzésre, mielőtt a felhasználó részére visszaküldésre kerülne. Ez kihasználható az érintett oldal felhasználói böngésző munkamenetében történő tetszőleges HTML és script kód futtatására.
3. Az alkalmazás nem kezeli megfelelően a túlságosan nagy távoli képadatokat. Ezt kihasználva szolgáltatás megtagadás (Dos) okozható.
4. Az alkalmazás helytelenül dolgozza fel a képméretező függvények nem megfelelően átadott, túlságosan nagy képméreteket. Ezt kihasználva szolgáltatás megtagadás (Dos) okozható.

A sebezhetőséget a Mimbo Pro sablon v2.3.1-es verziójában jelentették, de más verziók is érintettek lehetnek.

Megoldás:

• Frissítsen a legújabb verzióra

Érintett verziók:

• WordPress Mimbo Pro theme

Érintett rendszerek

• Mimbo Pro sablon
• WordPress

Hatás

• Loss of availability (Elérhetőség elvesztése)
• Loss of confidentiality (Bizalmasság elvesztése)
• Loss of integrity (Sértetlenség elvesztése)

Biztonsági kockázat

• Alacsony

Szükséges hozzáférés

• Remote/Network (Távoli/hálózat)

Támadás típusa

• Deny of service (Szolgáltatás megtagadás)
• Input manipulation (Bemenet módosítás)

Secunia Advisory SA44126

• TimThumb Cross-Site Scripting and Denial of Service Vulnerabilities

Secunia Advisory SA44235

• WordPress Mimbo Pro Theme Cross-Site Scripting and Denial of Service Vulnerabilities