CH azonosító
CH-7199Angol cím
WordPress Global Content Blocks Plugin Multiple VulnerabilitiesFelfedezés dátuma
2012.07.11.Súlyosság
AlacsonyÉrintett rendszerek
Global Content Blocks pluginWordPress
Érintett verziók
WordPress Global Content Blocks Plugin 1.x
Összefoglaló
A WordPress Global Content Blocks bővítményének több sérülékenysége vált ismertté, amelyeket kihasználva a rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági korlátozásokat, a támadók pedig bizalmas információkat fedhetnek fel.
Leírás
- A wp-content/plugins/global-content-blocks/resources/tinymce/gcb_ajax_add.php script nem megfelelően ellenőrzi a jogosultságokat kódblokkok létrehozása előtt. Ez kihasználható tetszőleges kódblokkok létrehozására és PHP kód futtatására.
- A wp-content/plugins/global-content-blocks/resources/tinymce/gcbvalue.php és wp-content/plugins/global-content-blocks/gcb/gcb_export.php script-ek nem korlátozzák megfelelően a hozzáférést, ami kihasználható kódblokkok tartalmának felfedésére.
A sérülékenységeket az 1.5.1 verzióban jelentették, de más kiadások is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Security bypass (Biztonsági szabályok megkerülése)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: wordpress.org
SECUNIA 49854