Felfedezés dátuma:
- 2011-08-23
Összefoglaló:
- A WordPress WP Events Calendar pluginnak olyan sebezhetőségét jelentették, amelyet kihasználva a támadók cross-site scripting (CSS/XSS) támadásokat hajthatnak végre.
Leírás:
- Az “EC_id” paraméter által átadott bemeneti adat a wp-admin/admin.php részére (amikor a “page” értéke “events-calendar” és “EC_action” értéke “edit”) nincs megfelelően ellenőrizve wp-content/plugins/events-calendar/ec_management.class.php-ben, mielőtt a felhasználó részére visszaadásra kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjének munkamenetében, az érintett oldal vonatkozásában.
- A sebezhetőséget a WordPress WP Events Calendar plugin v6.7.11-es verziójában jelentették. Korábbi verziók is érintettek lehetnek.
Megoldás:
- Frissítsen a legújabb verzióra
Érintett verziók:
Érintett rendszerek:
- WP Events Calendar plugin
- WordPress
Hatás:
- Loss of confidentiality (Bizalmasság elvesztése)
- Loss of integrity (Sértetlenség elvesztése)
Biztonsági kockázat:
- Alacsony
Szükséges hozzáférés:
- Remote/Network (Távoli/hálózat)
Támadás típusa:
- Input manipulation (Bemenet módosítás)
- Misconfiguration (Konfiguráció)
- WordPress WP Events Calendar Plugin “EC_id” Cross-Site Scripting Vulnerability
Érdekelheti még:
WordPress Simple Slide Show plugin
A WordPress Simple Slide Show pluginnak olyan sebezhetőségét jelentett...
A WordPress Simple Slide Show pluginnak olyan sebezhetőségét jelentett...
WordPress File Groups plugin v1.1.2
A wp-content/plugins/file-groups/download.php "fgid" paraméterének áta...
A wp-content/plugins/file-groups/download.php "fgid" paraméterének áta...
A jövő emlékei: ITBN 2011
Nem is olyan régen egy nem is olyan messzi galaxisban nehéz volt az IT...
Nem is olyan régen egy nem is olyan messzi galaxisban nehéz volt az IT...
WordPress TheCartPress plugin v1.1.1
A WordPress TheCartPress plugin olyan sebezhetősége vált ismertté, ame...
A WordPress TheCartPress plugin olyan sebezhetősége vált ismertté, ame...