WordPress Zingiri Web Shop plugin script beszúrásos sérülékenység

2012. május 3. 07:31

CH azonosító

CH-6787

Angol cím

WordPress Zingiri Web Shop Plugin Script Insertion Vulnerability

Felfedezés dátuma

2012.05.01.

Súlyosság

Közepes

Érintett rendszerek

WordPress
Zingiri Web Shop plugin

Érintett verziók

WordPress Zingiri Web Shop Plugin 2.x

Összefoglaló

A WordPress Zingiri Web Shop plugin egy sérülékenységét jelentették, amelyet kihasználva a támadók script beszúrásos (script insertion) támadást indíthatnak.

Leírás

Az index.php részére a ‘wsfeature1[]’ és ‘wsfeature2[]’ POST paraméterek által átadott bemeneti adatok (amikor az oldalon a ‘page’ beállítása ‘cart’ és az ‘action’ beállítása ‘add’ értékre van állítva) nincsenek megfelelően ellenőrizve felhasználás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

A sérülékenységet a 2.4.2-es verzióban jelentették, de más kiadások is érintve lehetnek.

Legfrissebb sérülékenységek

CVE-2025-48572 – Android Framework Privilege Escalation sérülékenysége

CVE-2026-21877 – n8n Remote Code Execution via Arbitrary File Write sérülékenység

CVE-2025-68668 – n8n Arbitrary Command Execution sérülékenység

CVE-2025-68613 – n8n Remote Code Execution via Expression Injection sérülékenység

CVE-2026-21858 – n8n Unauthenticated File Access via Improper Webhook Request Handling sérülékenység

CVE-2025-37164 – Hewlett Packard Enterprise OneView Code Injection sérülékenység

CVE-2009-0556 – Microsoft Office PowerPoint Code Injection sérülékenység

CVE-2026-0625 – D-Link DSL Command Injection via DNS Configuration Endpoint sérülékenység

CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication sérülékenysége

CVE-2025-68428 – jsPDF path traversal sérülékenysége

Tovább a sérülékenységekhez »

WordPress Zingiri Web Shop plugin script beszúrásos sérülékenység