WordPress CMS Tree Page View bővítmény “cms_tpv_view” cross-site scripting sérülékenység

2012. március 27. 07:17

CH azonosító

CH-6594

Angol cím

WordPress CMS Tree Page View Plugin "cms_tpv_view" Cross-Site Scripting Vulnerability

Felfedezés dátuma

2012.03.26.

Súlyosság

Alacsony

Érintett rendszerek

CMS Tree Page View plugin
WordPress

Érintett verziók

WordPress CMS Tree Page View bővítmény 0.x

Összefoglaló

A WordPress CMS Tree Page View bővítmény olyan sérülékenysége vált ismertté, amelyeket a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások kezdeményezésére.

Leírás

A wp-admin/edit.php-ben a “cms_tpv_view” paraméter részére átadott bemenet (amikor “post_type” értéke “page” és “page” értéke “cms-tpv-page-page”) nem kerül megfelelően ellenőrzésre a wp-content/plugins/cms-tree-page-view/functions.php-ben található “cms_tpv_admin_head()” függvényben, mielőtt a felhasználó részére visszaküldésre kerülne. Ez kihasználható a felhasználó böngészőjének munkamenetében történő tetszőleges HTML és script kód futtatására, az érintett oldallal kapcsolatosan.

A sérülékenységet a 0.8.8. verzióban ismerték fel, de korábbi verziók is érintettek lehetnek.

Legfrissebb sérülékenységek

CVE-2024-41110 – Docker Engine AuthZ pluginok sérülékenysége

CVE-2024-20401 – Cisco Secure Email Gateway sérülékenysége

CVE-2024-20419 – Cisco Smart Software Manager On-Prem sérülékenysége

CVE-2024-21687 – Atlassian Bamboo Data Center és Server sérülékenysége

CVE-2024-6385 – GitLab CE/EE sérülékenysége

CVE-2024-22280 – VMware Aria Automation sérülékenysége

CVE-2024-5217 – ServiceNow hiányos feketelista sérülékenysége

CVE-2024-5178 – ServiceNow hiányos feketelista sérülékenysége

CVE-2024-4879 – Service Now Inpud Validation sérülékenysége

CVE-2024-6151 – Citrix Virtual Apps and Desktops sérülékenysége

Tovább a sérülékenységekhez »

WordPress CMS Tree Page View bővítmény “cms_tpv_view” cross-site scripting sérülékenység