Felfedezés dátuma:
- 2011-08-29
Összefoglaló:
- A WordPress Js-appointment pluginnak olyan sebezhetőségét fedezték fel, melyet a támadók kihasználhatnak SQL beszúrásos támadások indítására.
Leírás:
- A wp-content/plugins/js-appointment/searchdata.php “cat” paraméterének átadott bemenet nincs megfelelően ellenőrizve (amikor a “search_action” értéke “searchadv”), mielőtt az SQL lekérdezésekben felhasználnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
- A sebezhetőséget a WordPress Js-appointment plugin v1.5-ös verziójában igazolták. Más verziók is érintettek lehetnek.
Megoldás:
- Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében
Érintett verziók:
Érintett rendszerek:
- Js-appointment plugin
- WordPress
Hatás:
- Loss of confidentiality (Bizalmasság elvesztése)
- Loss of integrity (Sértetlenség elvesztése)
Biztonsági kockázat:
- Mérsékelt
Szükséges hozzáférés:
- Remote/Network (Távoli/hálózat)
Támadás típusa:
- Input manipulation (Bemenet módosítás)
- WordPress Js-appointment Plugin “cat” SQL Injection Vulnerability
Érdekelheti még:
WordPress DukaPress Shopping Cart plugin v2.3.2
A WordPress DukaPress Shopping Cart pluginnak olyan sebezhetőségét jel...
A WordPress DukaPress Shopping Cart pluginnak olyan sebezhetőségét jel...
WordPress s2Member plugin v110812
A WordPress s2Member beépülő moduljának olyan sebezhetősége vált ismer...
A WordPress s2Member beépülő moduljának olyan sebezhetősége vált ismer...
WordPress Contus HD FLV Player plugin v1.3
A WordPress Contus HD FLV Player pluginnak olyan sebezhetőségeit fedez...
A WordPress Contus HD FLV Player pluginnak olyan sebezhetőségeit fedez...
WordPress Magazeen sablon v1.0
A WordPress Magazeen sablonjának olyan sérülékenységeit jelentették, a...
A WordPress Magazeen sablonjának olyan sérülékenységeit jelentették, a...