WordPress Flowplayer Plugin URL cross-site scripting sérülékenység


2011. október 7. 11:49

CH azonosító

CH-5727

Angol cím

WordPress Flowplayer Plugin URL Cross-Site Scripting Vulnerability

Felfedezés dátuma

2011.10.06.

Súlyosság

Alacsony

Érintett rendszerek

Flowplayer plugin
WordPress

Érintett verziók

WordPress Flowplayer Plugin 1.x

Összefoglaló

A WordPress Flowplayer plugin egy sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting (CSS/XSS) támadásokat hajthatnak végre.

Leírás

A wp-content/plugins/fv-wordpress-flowplayer/view/frontend-head.php részére URL-ben átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználóhoz visszakerülne. Ez kihasználható tetszőleges HTML és script kód beszúrására, melyek lefuttatásra kerülnek a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.

A sérülékenységet az 1.2.11 verzióban jelentették és az 1.2.4 verzióban is igazolták. Korábbi verziók szintén érintettek lehetnek.

Megoldás

Frissítsen az 1.2.12 vagy újabb verzióra.

Támadás típusa

Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: wordpress.org
Gyártói referencia: plugins.trac.wordpress.org
SECUNIA 46346

Legfrissebb sérülékenységek
CVE-2025-64471 – Fortinet FortiWeb sérülékenysége
CVE-2025-59808 – Fortinet FortiSOAR sérülékenysége
CVE-2025-59719 – Fortinet FortiWeb sérülékenysége
CVE-2025-59718 – Fortinet sérülékenysége
CVE-2025-10573 – Ivanti EPM XSS sérülékenysége
CVE-2025-54100 – PowerShell Remote Code Execution sérülékenység
CVE-2025-64671 – GitHub Copilot for Jetbrains Remote Code Execution sérülékenység
CVE-2025-62221 – Microsoft Windows Use After Free sérülékenység
CVE-2025-55754 – Apache Tomcat sérülékenysége
CVE-2025-42880 – SAP Solution Manager Code Injection sérülékenység
Tovább a sérülékenységekhez »