Felfedezés dátuma:
- 2011-08-23
Összefoglaló:
- A WordPress WP Events Calendar pluginnak olyan sebezhetőségét jelentették, amelyet kihasználva a támadók cross-site scripting (CSS/XSS) támadásokat hajthatnak végre.
Leírás:
- Az “EC_id” paraméter által átadott bemeneti adat a wp-admin/admin.php részére (amikor a “page” értéke “events-calendar” és “EC_action” értéke “edit”) nincs megfelelően ellenőrizve wp-content/plugins/events-calendar/ec_management.class.php-ben, mielőtt a felhasználó részére visszaadásra kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjének munkamenetében, az érintett oldal vonatkozásában.
- A sebezhetőséget a WordPress WP Events Calendar plugin v6.7.11-es verziójában jelentették. Korábbi verziók is érintettek lehetnek.
Megoldás:
- Frissítsen a legújabb verzióra
Érintett verziók:
Érintett rendszerek:
- WP Events Calendar plugin
- WordPress
Hatás:
- Loss of confidentiality (Bizalmasság elvesztése)
- Loss of integrity (Sértetlenség elvesztése)
Biztonsági kockázat:
- Alacsony
Szükséges hozzáférés:
- Remote/Network (Távoli/hálózat)
Támadás típusa:
- Input manipulation (Bemenet módosítás)
- Misconfiguration (Konfiguráció)
- WordPress WP Events Calendar Plugin “EC_id” Cross-Site Scripting Vulnerability
Érdekelheti még:
WordPress Js-appointment plugin v1.5
A WordPress Js-appointment pluginnak olyan sebezhetőségét fedezték fel...
A WordPress Js-appointment pluginnak olyan sebezhetőségét fedezték fel...
WordPress DP Thumbnail plugin v1.0
A WordPress DP Thumbnail plugin olyan sebezhetősége vált ismertté, ame...
A WordPress DP Thumbnail plugin olyan sebezhetősége vált ismertté, ame...
WordPress WP Symposium plugin v0.64
A WordPress WP Symposium pluginnak olyan sebezhetőségét igazolták, ame...
A WordPress WP Symposium pluginnak olyan sebezhetőségét igazolták, ame...
WordPress Popular Posts plugin v2.1.4
A WordPress Popular Posts pluginnak olyan sebezhetőségét jelentették, ...
A WordPress Popular Posts pluginnak olyan sebezhetőségét jelentették, ...