Felfedezés dátuma: 2011-04-07
Összefoglaló: A WordPress két sebezhetőségét jelentették, melyeket a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások indítására és szolgáltatás megtagadás (DoS – Denial of Service) okozására.
Leírás:
- Egyes, részletesen nem ismertetett bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.
- A wp-includes/formatting.php “make_clickable()” függvénye nem megfelelően ellenőrzi a hozzászólásokban található URL hosszúságát, mielőtt átadná azokat a PCRE könyvtárnak. Ez kihasználható rendszer összeomlás okozására.
A sebezhetőségeket a WordPress 3.1.1 verziót megelőzőekben jelentették.
Megoldás:
- Frissítsen a legújabb verzióra
- WordPress 3.x
Érintett rendszerek
- WordPress
Hatás
- Loss of availability (Elérhetőség elvesztése)
- Loss of confidentiality (Bizalmasság elvesztése)
- Loss of integrity (Sértetlenség elvesztése)
Biztonsági kozkázat
- Mérsékelt
Szükséges hozzáférés
- Remote/Network (Távoli/hálózat)
Támadás típusa
- Input manipulation (Bemenet módosítás)
- WordPress Cross-Site Scripting and Denial of Service Vulnerabilities
Érdekelheti még:
Extend WordPress Free Version plugin v2.1.01
Az Extend WordPress Free Version plugin olyan sebezhetősége vált ismer...
Az Extend WordPress Free Version plugin olyan sebezhetősége vált ismer...
WordPress WP Photo Album Plugin 1.5.1.
A WP Photo Album WordPress bővítmény olyan sebezhetősége vált ismertté...
A WP Photo Album WordPress bővítmény olyan sebezhetősége vált ismertté...
WordPress TheCartPress plugin v1.1.1
A WordPress TheCartPress plugin olyan sebezhetősége vált ismertté, ame...
A WordPress TheCartPress plugin olyan sebezhetősége vált ismertté, ame...
WordPress Link Library plugin v5.0.8.
A WordPress Link Library pluginnak két olyan sebezhetőségét fedezték f...
A WordPress Link Library pluginnak két olyan sebezhetőségét fedezték f...