CH azonosító
CH-6456Angol cím
WordPress Video Embed & Thumbnail Generator Plugin Code Execution VulnerabilitiesFelfedezés dátuma
2012.02.26.Súlyosság
MagasÉrintett rendszerek
Video Embed & Thumbnail Generator pluginWordPress
Érintett verziók
WordPress Video Embed & Thumbnail Generator Plugin 1.x
Összefoglaló
A WordPress Video Embed & Thumbnail Generator bővítményének olyan sérülékenységét jelentették, amelyet a támadók kihasználva feltörhetik a sérülékeny rendszert.
Leírás
A wp-content/plugins/video-embed-thumbnail-generator/kg_callffmpeg.php különböző függvényeinek átadott bemeneti adatok nincs megfelelően ellenőrizve, mielőtt egy “exec()” meghívásban felhasználásra kerülne. Ez kihasználható tetszőleges shell parancsok befecskendezésére (inject) és futtatására.
A sérülékenységeket az 1.1 verzióban jelentették. Más verziók is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 48087
Gyártói referencia: wordpress.org