Összefoglaló
A WordPress kapcsán több modult, illetve kiegészítőt is újonnan feltárt biztonsági hibák sújtanak. Ezek SQL injection alapú támadásokra, jogosulatlan kódfuttatásra és rendszerhozzáférésre, illetve XSS-típusú károkozásokra is lehetőséget adhatnak.
Leírás
Az érintett kiegészítők, modulok a következők:
– WonderPlugin Audio Player plugin (2.1-es verzió előtt SQL injection hiba)
– Fusion theme 3.1 for WordPress (fájlfeltöltési rendellenességek)
– WP Media Cleaner plugin 2.2.6 (XSS sebezhetőség)
– Spider Event Calendar 1.4.9.
Megoldás
A fejlesztők által készített hibajavítások, illetve a legújabb verziók telepítése.
Támadás típusa
Cross Site Scripting (XSS/CSS)SQL Injection
System access (Rendszer hozzáférés)
execute code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.wonderplugin.com
Gyártói referencia: packetstormsecurity.com
Gyártói referencia: wordpress.com
Egyéb referencia: isbk.hu
CVE-2015-2194 - NVD CVE-2015-2194
CVE-2015-2195 - NVD CVE-2015-2195
CVE-2015-2196 - NVD CVE-2015-2196
CVE-2015-2199 - NVD CVE-2015-2199