WordPress Download Monitor bővítmény cross-site scripting sérülékenység

2012. szeptember 12. 07:05

CH azonosító

CH-7550

Angol cím

WordPress Download Monitor Plugin "dlsearch" Cross-Site Scripting Vulnerability

Felfedezés dátuma

2012.09.10.

Súlyosság

Alacsony

Érintett rendszerek

Download Monitor Plugin
WordPress

Érintett verziók

WordPress Download Monitor Plugin 3.x

Összefoglaló

A WordPress Download Monitor bővítményének olyan sérülékenységét jelentették, amelyet a támadók kihasználva cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.

Leírás

A “dlsearch” paraméter által átadott bemeneti adatok az index.php részére (amikor a “page_id” értéke a letöltési oldal id-jének van beállítva) nincsenek megfelelően megtisztítva, mielőtt visszaadásra kerülnének. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.

A sérülékenységet a 3.3.5.7 verzióban jelentették, de más kiadások is érintettek lehetnek.

Legfrissebb sérülékenységek

CVE-2024-40766 – SonicWall SonicOS nem megfelelő hozzáférésszabályzási sérülékenysége

CVE-2024-6386 – WPML WordPress plugin sérülékenysége

CVE-2024-5932 – The GiveWP – Donation Plugin and Fundraising Platform plugin for WordPress sérülékenysége

CVE-2024-38193 – Windows Ancillary Function Driver for WinSock Elevation of Privilege sérülékenysége

CVE-2024-6337 – GitHub Enterprise Server sérülékenysége

CVE-2024-7711 – GitHub Enterprise Server sérülékenysége

CVE-2024-6800 – GitHub Enterprise Server sérülékenysége

CVE-2024-21302 – Microsoft Windows Nem megfelelő hozzáférés-ellenőrzés sérülékenysége

CVE-2024-38202 – Microsoft Windows Nem megfelelő hozzáférés-ellenőrzés sérülékenysége

CVE-2023-45249 – Acronis Cyber Infrastructure (ACI) RCE sérülékenysége

Tovább a sérülékenységekhez »

WordPress Download Monitor bővítmény cross-site scripting sérülékenység