CH azonosító
CH-4257Angol cím
WordPress RSS Feed Reader for WordPress Plugin "rss_url" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2011.01.25.Súlyosság
AlacsonyÉrintett rendszerek
RSS Feed Reader pluginWordPress
Érintett verziók
WordPress RSS Feed Reader for WordPress Plugin 0.x
Összefoglaló
Az RSS Feed Reader for WordPress (WordPress bővítmény) olyan sérülékenységét jelentették, melyet a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások indítására.
Leírás
A wp-content/plugins/rss-feed-reader/magpie/scripts/magpie_slashbox.php “rss_url” paraméterének átadott bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében az érintett oldallal kapcsolatosan.
A sérülékenységet a 0.1. verzióban igazolták. Más verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.autosectools.com
SECUNIA 43071