CH azonosító
CH-8299Angol cím
WordPress DVS Custom Notification Plugin Cross-Site Request Forgery VulnerabilityFelfedezés dátuma
2013.01.21.Súlyosság
AlacsonyÉrintett rendszerek
DVS Custom Notification PluginWordPress
Érintett verziók
WordPress DVS Custom Notification Plugin 1.x
Összefoglaló
A WordPress DVS Custom Notification bővítmény olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak cross-site request forgery (XSRF/CSRF) támadások kezdeményezésére.
Leírás
Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ez kihasználható az alkalmazás beállításainak megváltoztatására, amennyiben a bejelentkezett adminisztrátor meglátogat egy rosszindulatú weboldalt.
Megjegyzés: a sérülékenység továbbá kihasználható script beszúrásos (script insertion) támadásokra is.
A sérülékenységet a 1.0.1 verzióban jelentették, de más kiadások is érintettek lehetnek.
Megoldás
IsmeretlenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)