– Honlapkészítés, keresőoptimalizálás

WordPress Register Plus Redux plugin v3.7.3

Felfedezés dátuma:

  • 2011-08-08

Összefoglaló:

  • A Register Plus Redux plugin for WordPress több sebezhetőségét jelentették, amelyeket kihasználva a támadók cross-site scripting (CSS/XSS) támadást indíthatnak.

Leírás:

  • A wp-login.php fájlban lévő “user_login”, “user_email”, “first_name”, “last_name”, “aim”, “yahoo”, “jabber”, “about”, “password” és “invitation_code” változóknak átadott bemeneti adatok (amikor az “action” “register” értékre van állítva) nem megfelelően vannak megtisztítva, mielőtt visszakerülnének a felhasználóhoz. Ezt kihasználva tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjének munkamenetében, az érintett oldal vonatkozásában.

A sebezhetőséget a Register Plus Redux plugin 3.7.3 -as verziójában jelentették, de egyéb kiadások is érintve lehetnek.

Megoldás:WordPress

  • Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében

Érintett verziók:

  • Register Plus Redux 3.x (plugin for WordPress)

Érintett rendszerek

  • Register Plus Redux plugin
  • WordPress

Hatás

  • Loss of confidentiality (Bizalmasság elvesztése)
  • Loss of integrity (Sértetlenség elvesztése)

Biztonsági kockázat

  • Alacsony

Szükséges hozzáférés

  • Remote/Network (Távoli/hálózat)

Támadás típusa

  • Input manipulation (Bemenet módosítás)

Secunia Advisory SA45503

  • WordPress Register Plus Redux Plugin Multiple Cross-Site Scripting Vulnerabilities

Érdekelheti még:

Kövess minket!
  • Kiemelt partner