CH azonosító
CH-8027Angol cím
WordPress Video Lead Form Plugin "errMsg" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2012.11.29.Súlyosság
AlacsonyÉrintett rendszerek
Video Lead Form PluginWordPress
Érintett verziók
WordPress Video Lead Form Plugin 0.x
Összefoglaló
A WordPress Video Lead Form bővítmény olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat tudnak végrehajtani.
Leírás
Az “errMsg” paraméterrel a wp-admin/admin.php részére átadott bementi adat (amikor a “page” beállítása “video-lead-form”) nincsen megfelelően megtisztítva a felhasználónak történő visszaadás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenység a 0.5 verzióban található.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 51419
Egyéb referencia: packetstormsecurity.org