Felfedezés dátuma:
- 2011-08-23
Összefoglaló:
- A WordPress WP Events Calendar pluginnak olyan sebezhetőségét jelentették, amelyet kihasználva a támadók cross-site scripting (CSS/XSS) támadásokat hajthatnak végre.
Leírás:
- Az “EC_id” paraméter által átadott bemeneti adat a wp-admin/admin.php részére (amikor a “page” értéke “events-calendar” és “EC_action” értéke “edit”) nincs megfelelően ellenőrizve wp-content/plugins/events-calendar/ec_management.class.php-ben, mielőtt a felhasználó részére visszaadásra kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjének munkamenetében, az érintett oldal vonatkozásában.
- A sebezhetőséget a WordPress WP Events Calendar plugin v6.7.11-es verziójában jelentették. Korábbi verziók is érintettek lehetnek.
Megoldás:
- Frissítsen a legújabb verzióra
Érintett verziók:
Érintett rendszerek:
- WP Events Calendar plugin
- WordPress
Hatás:
- Loss of confidentiality (Bizalmasság elvesztése)
- Loss of integrity (Sértetlenség elvesztése)
Biztonsági kockázat:
- Alacsony
Szükséges hozzáférés:
- Remote/Network (Távoli/hálózat)
Támadás típusa:
- Input manipulation (Bemenet módosítás)
- Misconfiguration (Konfiguráció)
- WordPress WP Events Calendar Plugin “EC_id” Cross-Site Scripting Vulnerability
Érdekelheti még:
WordPress Menu Creator plugin v1.1.7
A WordPress Menu Creator plugin egy sebezhetőségét jelentették, amelye...
A WordPress Menu Creator plugin egy sebezhetőségét jelentették, amelye...
WordPress EvoLve Theme v1.2.6
Az EvoLve theme for WordPress egy sebezhetőségét jelentették, amelyet ...
Az EvoLve theme for WordPress egy sebezhetőségét jelentették, amelyet ...
WordPress Cms Pack plugin v1.3
A WordPress Cms Pack bővítmény olyan sebezhetősége vált ismertté, amel...
A WordPress Cms Pack bővítmény olyan sebezhetősége vált ismertté, amel...
WordPress Pixiv Custom Theme v2.1.5
A WordPress Pixiv Custom témájának olyan sebezhetőségét jelentették, a...
A WordPress Pixiv Custom témájának olyan sebezhetőségét jelentették, a...