CH azonosító
CH-6062Angol cím
WordPress s2Member Plugin "s2_invoice" Custom Capabilities Security Bypass VulnerabilityFelfedezés dátuma
2011.12.07.Súlyosság
AlacsonyÖsszefoglaló
A WordPress s2Member plugin olyan sérülékenysége vált ismertté, amelyet kihasználva rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági szabályokat.
Leírás
Az “s2_invoice” paraméternek átadott bemeneti adat a fizetési URL-eken belül nincsen megfelelően ellenőrizve mielőtt termékeknek hozzáférést adna egyéni képességek használatakor. Ez kihasználható tetszőleges termékekhez történő hozzáférésre egyes képességek elérésével.
A következő fizetési kapuk érintettek:
* ccBill® Buttons
* ClickBank® Buttons
* Google® Checkout Buttons
* PayPal® Buttons with disabled “Button Encryption”
A sérülékenység a 111206-ost megelőző verziókban található.
Megoldás
Frissítsen a 111206-os verzióra. Engedélyezze a “Button Encryption”-t az “Account Details”-en belül “PayPal Options”-nál “PayPal® Buttons” használatakor.
Támadás típusa
Security bypass (Biztonsági szabályok megkerülése)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 47101
Gyártói referencia: wordpress.org
Egyéb referencia: www.primothemes.com
