Felfedezés dátuma:
- 2011-08-19
Összefoglaló:
- A WordPress Menu Creator plugin egy sebezhetőségét jelentették, amelyet kihasználva a támadók SQL befecskendezéses (SQL injection) támadást indíthatnak.
Leírás:
- A “menu_id” paraméteren keresztül átadott bementi adat a wp-content/plugins/wp-menu-creator/updateSortOrder.php fájlnak nincs megfelelően megtisztítva, mielőtt SQL lekérdezésben felhasználásra kerülne. Ez kihasználható az SQL lekérdezések módosítására, tetszőleges SQL kód befecskendezésével.
- A sebezhetőséget a WordPress Menu Creator plugin v1.1.7-es verziójában jelentették, de egyéb kiadások is érintve lehetnek.
Megoldás:
- Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében
Érintett verziók:
- WordPress Menu Creator Plugin 1.x
Érintett rendszerek:
- Menu Creator plugin
- WordPress
Hatás:
- Loss of confidentiality (Bizalmasság elvesztése)
- Loss of integrity (Sértetlenség elvesztése)
Biztonsági kockázat:
- Mérsékelt
Szükséges hozzáférés:
- Remote/Network (Távoli/hálózat)
Támadás típusa:
- Input manipulation (Bemenet módosítás)
- WordPress Menu Creator Plugin “menu_id” SQL Injection Vulnerability
Érdekelheti még:
WordPress Global Content Blocks plugin v1.2
A WordPress Global Content Blocks plugin egy sebezhetőségét jelentetté...
A WordPress Global Content Blocks plugin egy sebezhetőségét jelentetté...
WordPress WP Symposium plugin v0.64
A WordPress WP Symposium pluginnak olyan sebezhetőségét igazolták, ame...
A WordPress WP Symposium pluginnak olyan sebezhetőségét igazolták, ame...
WordPress IGIT Posts Slider Widget plugin v1.1
A WordPress IGIT Posts Slider Widget beépülő moduljának olyan sebezhet...
A WordPress IGIT Posts Slider Widget beépülő moduljának olyan sebezhet...
WordPress Category Grid View Gallery v0.1.1
WordPress Category Grid View Gallery bővítmény olyan sebezhetősége vál...
WordPress Category Grid View Gallery bővítmény olyan sebezhetősége vál...
