Felfedezés dátuma: 2011-04-07
Összefoglaló: A WordPress két sebezhetőségét jelentették, melyeket a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások indítására és szolgáltatás megtagadás (DoS – Denial of Service) okozására.
Leírás:
- Egyes, részletesen nem ismertetett bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.
- A wp-includes/formatting.php “make_clickable()” függvénye nem megfelelően ellenőrzi a hozzászólásokban található URL hosszúságát, mielőtt átadná azokat a PCRE könyvtárnak. Ez kihasználható rendszer összeomlás okozására.
A sebezhetőségeket a WordPress 3.1.1 verziót megelőzőekben jelentették.
Megoldás:
- Frissítsen a legújabb verzióra
- WordPress 3.x
Érintett rendszerek
- WordPress
Hatás
- Loss of availability (Elérhetőség elvesztése)
- Loss of confidentiality (Bizalmasság elvesztése)
- Loss of integrity (Sértetlenség elvesztése)
Biztonsági kozkázat
- Mérsékelt
Szükséges hozzáférés
- Remote/Network (Távoli/hálózat)
Támadás típusa
- Input manipulation (Bemenet módosítás)
- WordPress Cross-Site Scripting and Denial of Service Vulnerabilities
Érdekelheti még:
WordPress Menu Creator plugin v1.1.7
A WordPress Menu Creator plugin egy sebezhetőségét jelentették, amelye...
A WordPress Menu Creator plugin egy sebezhetőségét jelentették, amelye...
WordPress KNR Author List plugin v2.0
A WordPress KNR Author List plugin for WordPress két sebezhetőségét je...
A WordPress KNR Author List plugin for WordPress két sebezhetőségét je...
WordPress SmoothGallery plugin v1.15.1
A WordPress SmoothGallery plugin olyan sebezhetősége vált ismertté, am...
A WordPress SmoothGallery plugin olyan sebezhetősége vált ismertté, am...
WordPress Rating-Widget Plugin v1.3.2
A WordPress Rating-Widget plugin több olyan sebezhetőségét fedezték fe...
A WordPress Rating-Widget plugin több olyan sebezhetőségét fedezték fe...