Összefoglaló
A WordPress A Forms beépülő moduljának két sérülékenységét jelentették be, amelyeket kihasználva a támadók cross-site request hamisítást és script beszúrás támadásokat indíthatnak.
Leírás
A WordPress A Forms beépülő moduljának két sérülékenységét jelentették be, amelyeket kihasználva a támadók cross-site request hamisítást és script beszúrás támadásokat indíthatnak.
1. Az alkalmazás lehetővé teszi a felhasználóknak, hogy bizonyos műveleteket végrehajtsanak HTTP kéréseken keresztül anélkül, hogy a kérések érvényessége ellenőrízve lenne. Ez kihasználható pl. bizonyos űrlapok beküldésére, amikor a bejelentkezett felhasználó meglátogat egy speciálisan erre a célra elkészített weboldalt.
Ez a sérülékenység az 1.4.1 előtti verziókban van.
2. Az űrlapmezőkben átadott bemeneti értékek (például ha a mező “text” vagy “textarea“ típusú) nincsenek megfelelően ellenőrizve a használatuk előtt. Ez kihasználható tetszőleges HTML és script kód injektálására, ami a felhasználó böngészőjében le fog futni a káros tartalom megtekintésekor.
A sikeres kihasználás feltétele az űrlap nyomonkövetésének bekapcsolt állapota (alapértelmezés szerint ez engedélyezve van).