Összefoglaló
A WordPress két bővítménye is sebezhetőnek bizonyult. A feltárt hibák jogosulatlan műveletvégrehajtás és XSS-alapú támadások kockázatát vetik fel.
Leírás
A Facebook Like Box Plugin sérülékenységét az okozza, hogy a bővítmény egyes esetekben nem ellenőrzi megfelelően a beérkező HTTP kéréseket. Ennek hatására a plugin konfigurációs beállításai manipulálhatóvá válhatnak, amikor a felhasználó meglátogat egy speciálisan összeállított weboldalt.
A Download Manager plugin for WordPress sebezhetősége pedig arra vezethető vissza, hogy a bővítmény esetenként nem ellenőrzi megfelelően az egyes adminisztratív funkciókhoz tartozó engedélyeket, aminek következtében jogosulatlan műveletvégrehajtásra adódhat lehetőség. A hiba tetszőleges PHP-kódok futtatását is elősegítheti.
Megoldás
A Download Manager plugin for WordPress 2.7.5-ös verziójára való frissítés.
A Facebook Like Box Plugin javítása még várat magára.
Támadás típusa
Cross Site Scripting (XSS/CSS)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: packetstormsecurity.com
Gyártói referencia: wordpress.org
Egyéb referencia: www.isbk.hu