Összefoglaló
Két sérülékenységet fedeztek fel a WordPress-ben, amelyet kihasználva a támadók script beszúrás támadásokat hajthatnak végre.
Leírás
Két sérülékenységet fedeztek fel a WordPress-ben, amelyet kihasználva a támadók script beszúrás támadásokat hajthatnak végre.
A két sérülékenység a Quick Contact Form plugin-ben található, amelyeket kihasználva a támadók script beszúrásos támadást hajthatnak végre.
A “qcfname1” és a “qcfname4“ átadott bemenetek nincsenek megfelelően megtisztítva, mielőtt felhasználásra kerülnének. Ez kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjében, az érintett oldallal kapcsolatosan a kártékony adatok megtekintésekor.
A sikeres kiaknázás feltétele, hogy a felhasználó megnyisson egy oldalt, vagy egy hozzászólást, ami tartalmazza a [QCF] shortcode-ot.
A sérülékenységeket a 6.0. verzióban észlelték, de korábbi verziók is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraMegoldás
frissítsen a 6.1 verzióra