Felfedezés dátuma:
- 2011-08-18
Összefoglaló:
- A WordPress Odihost Newsletter bővítmény olyan sebezhetősége vált ismertté, amelyet a támadók kihasználhatnak SQL befecskendezéses támadások kezdeményezésére.
Leírás:
- A wp-content/plugins/odihost-newsletter-plugin/includes/openstat.php-nek az “id” paraméterrel átadott bemenet nincs megfelelően ellenőrizve, mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
- A sebezhetőséget a WordPress Odihost Newsletter plugin v1.0. verziójában igazolták, de más verziók is érintettek lehetnek.
Megoldás:
- Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében
- WordPress Odihost Newsletter plugin 1.x
Érintett rendszerek:
- Odihost Newsletter plugin
- WordPress
Hatás:
- Loss of confidentiality (Bizalmasság elvesztése)
- Loss of integrity (Sértetlenség elvesztése)
Biztonsági kockázat:
- Mérsékelt
Szükséges hozzáférés:
- Remote/Network (Távoli/hálózat)
Támadás típusa:
- Input manipulation (Bemenet módosítás)
- WordPress Odihost Newsletter Plugin “id” SQL Injection Vulnerability
Érdekelheti még:
WordPress Zingiri Web Shop plugin 2.2.1
A WordPress Zingiri Web Shop plugin olyan sebezhetősége vált ismertté,...
A WordPress Zingiri Web Shop plugin olyan sebezhetősége vált ismertté,...
WordPress SmoothGallery plugin v1.15.1
A WordPress SmoothGallery plugin olyan sebezhetősége vált ismertté, am...
A WordPress SmoothGallery plugin olyan sebezhetősége vált ismertté, am...
WordPress Easy Comment Uploads plugin v0.61
A WordPress Easy Comment Uploads beépülő moduljának olyan sebezhetőség...
A WordPress Easy Comment Uploads beépülő moduljának olyan sebezhetőség...
WordPress WP Symposium plugin v0.64
A WordPress WP Symposium pluginnak olyan sebezhetőségét igazolták, ame...
A WordPress WP Symposium pluginnak olyan sebezhetőségét igazolták, ame...