Felfedezés dátuma: 2011-07-19
Összefoglaló: A WordPress bSuite plugin olyan sebezhetőségei váltak ismertté, amelyeket a támadók kihasználhatnak script beszúrásos (script insertion) támadások kezdeményezésére.
Leírás:
- Az index.php-nek az “s” és “p” paraméterekkel átadott bemeneti adata nem kerül megfelelően ellenőrzésre a wp-content/plugins/bsuite/ui_stats.php-ben, mielőtt a felhasználó részére visszaküldésre kerülne. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely az érintett oldal felhasználói böngésző munkamenetében kerül lefuttatásra, amikor a rosszindulatú adat megtekintésre kerül.
A sebezhetőségeket a WordPress bSuite plugin 4.0.7. verziójában jelentették. Más verziók is érintettek lehetnek.
Megoldás:
- Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében
Érintett verziók:
- WordPress bSuite Plugin 4.x
Érintett rendszerek
- bSuite plugin
- WordPress
Hatás
- Loss of confidentiality (Bizalmasság elvesztése)
- Loss of integrity (Sértetlenség elvesztése)
Biztonsági kockázat
- Mérsékelt
Szükséges hozzáférés
- Remote/Network (Távoli/hálózat)
Támadás típusa
- Input manipulation (Bemenet módosítás)
- WordPress bSuite Plugin Two Script Insertion Vulnerabilities
Érdekelheti még:
WordPress Category Grid View Gallery v0.1.1
WordPress Category Grid View Gallery bővítmény olyan sebezhetősége vál...
WordPress Category Grid View Gallery bővítmény olyan sebezhetősége vál...
WordPress WP Custom Pages v0.5.0.1
A WordPress WP Custom Pages bővítményének olyan sebezhetőségét jelente...
A WordPress WP Custom Pages bővítményének olyan sebezhetőségét jelente...
WordPress File Groups plugin v1.1.2
A wp-content/plugins/file-groups/download.php "fgid" paraméterének áta...
A wp-content/plugins/file-groups/download.php "fgid" paraméterének áta...
WordPress SH Slideshow plugin v3.1.4
A WordPress SH Slideshow pluginnak olyan sebezhetősége vált ismertté, ...
A WordPress SH Slideshow pluginnak olyan sebezhetősége vált ismertté, ...
