CH azonosító
CH-9228Angol cím
WordPress Mail On Update Plugin Cross-Site Request Forgery VulnerabilityFelfedezés dátuma
2013.05.16.Súlyosság
AlacsonyÉrintett rendszerek
Mail On Update PluginWordPress
Érintett verziók
WordPress Mail On Update bővítmény 5.x
Összefoglaló
A WordPress Mail On Update bővítmény olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site request forgery (XSRF/CSRF) támadásokat indíthatnak.
Leírás
Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ez kihasználható pl. a bővítmény beállításainak módosítására, ha egy bejelentkezett felhasználó meglátogat egy speciálisan elkészített weboldalt.
A sérülékenységet az 5.1.0 verzióban ismerték fel, de más kiadások is érintettek lehetnek.
Megoldás
IsmeretlenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 53449
Egyéb referencia: www.openwall.com