CH azonosító
CH-4265Angol cím
WordPress FCChat Widget Plugin "path" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2011.01.25.Súlyosság
AlacsonyÉrintett rendszerek
FCChat Widget pluginWordPress
Érintett verziók
WordPress FCChat Widget plugin 2.x
Összefoglaló
A WordPress FCChat Widget bővítmény olyan sérülékenysége vált ismertté, melyet kihasználva támadók cross-site scripting támadásokat (XSS/CSS) tudnak végrehajtani.
Leírás
A “path” paraméternek átadott bemenet a wp-content/plugins/fcchat/js/import.config.php-ben nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében az érintett oldallal kapcsolatosan.
A sérülékenység a 2.1.7. verzióban található, de egyéb verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.autosectools.com
SECUNIA 43063