Felfedezés dátuma: 2011-04-07
Összefoglaló: A WordPress két sebezhetőségét jelentették, melyeket a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások indítására és szolgáltatás megtagadás (DoS – Denial of Service) okozására.
Leírás:
- Egyes, részletesen nem ismertetett bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.
- A wp-includes/formatting.php “make_clickable()” függvénye nem megfelelően ellenőrzi a hozzászólásokban található URL hosszúságát, mielőtt átadná azokat a PCRE könyvtárnak. Ez kihasználható rendszer összeomlás okozására.
A sebezhetőségeket a WordPress 3.1.1 verziót megelőzőekben jelentették.
Megoldás:
- Frissítsen a legújabb verzióra
- WordPress 3.x
Érintett rendszerek
- WordPress
Hatás
- Loss of availability (Elérhetőség elvesztése)
- Loss of confidentiality (Bizalmasság elvesztése)
- Loss of integrity (Sértetlenség elvesztése)
Biztonsági kozkázat
- Mérsékelt
Szükséges hozzáférés
- Remote/Network (Távoli/hálózat)
Támadás típusa
- Input manipulation (Bemenet módosítás)
- WordPress Cross-Site Scripting and Denial of Service Vulnerabilities
Érdekelheti még:
WordPress Placester plugin v0.1.0
A WordPress Placester bővítményének olyan sebezhetőségét jelentették, ...
A WordPress Placester bővítményének olyan sebezhetőségét jelentették, ...
WordPress File Groups plugin v1.1.2
A wp-content/plugins/file-groups/download.php "fgid" paraméterének áta...
A wp-content/plugins/file-groups/download.php "fgid" paraméterének áta...
WordPress yolink Search plugin v1.1.4
A WordPress yolink Search pluginnak két olyan sebezhetősége vált ismer...
A WordPress yolink Search pluginnak két olyan sebezhetősége vált ismer...
WordPress WP Easy Stats plugin v1.8
A WordPress Easy Stats plugin olyan sebezhetősége vált ismertté, amely...
A WordPress Easy Stats plugin olyan sebezhetősége vált ismertté, amely...