Összefoglaló
A Wordpress plugin-jának két sérülékenységét jelentették, amelyeket kihasználva a támadók cross-site scripting támadásokat hajthatnak végre.
Leírás
Az egyik hibát a WP SlimStat plugin for WordPress tartalmazza, amely a wp-admin/admin-ajax.php kapcsán nem ellenőriz megfelelően egy bemeneti paramétert.
A másik biztonsági rés a WordPress MP3-jPlayer Plugin esetében merült fel, amely szintén egy paraméterkezelési rendellenesség miatt jelent kockázatot. A hibát az “mp3-jplayerdownload.php” és az “mp3-jplayerremote\downloader.php” fájlok tartalmazzák.
A fenti sebezhetőségek HTML és JavaScript kódokkal történő visszaélésekre adhatnak módot.
Megoldás
Az MP3-jPlayer plugin 1.8.12-es verziójára történő frissítés.
A WP SlimStat plugin 3.9.2-es verziójára történő frissítés.
Támadás típusa
Cross Site Scripting (XSS/CSS)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu
Gyártói referencia: wordpress.org
Gyártói referencia: wordpress.org