CH azonosító
CH-7339Angol cím
WordPress WP Lead Management Plugin Script Insertion VulnerabilitiesFelfedezés dátuma
2012.08.05.Súlyosság
KözepesÉrintett rendszerek
WP Lead Management PluginWordPress
Érintett verziók
WordPress WP Lead Management Plugin 3.x
Összefoglaló
A WordPress WP Lead Management bővítmény olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak script beszúrásos (script insertion) támadások kezdeményezésére.
Leírás
Az index.php részére a “names”, “companyname”, “email”, “country” és “querysubject” POST paraméterekkel átadott bemeneti adatok (amikor “fstst_addnew” bármilyen értékkel rendelkezik) nincsenek megfelelően megtisztítva, mielőtt felhasználásra kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenységet 3.0.0 verzióban ismerték fel, de más kiadások is érintettek lehetnek.
Megoldás
Jelenleg nincs elérhető javítás a sérülékenységre.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 50166
Egyéb referencia: www.exploit-db.com
