Összefoglaló
A WordPress egy olyan sebezhetőségét jelentették, melyet fel lehet használni script beszúrásos támadások lefolytatására.
Leírás
A WordPress egy olyan sebezhetőségét jelentették, melyet fel lehet használni script beszúrásos támadások lefolytatására.
A wp-admin/templates.php “file” paraméterének átadott bemenet nincs megfelelően ellenőrizve tárolásra előtt. Ezt kiaknázva tetszőleges HTML és script kódot lehet beszúrni, melyek lefutnak az adminisztrátor felhasználók böngészőjében az érintett oldalakkal összefüggésben, a templates.php script elérésekor.
A sikeres kiaknázás feltétele, hogy a kiszemelt felhasználó adminisztrátori jogosultsággal legyen bejelentkezve.
A sebezhetőséget a 2.0.5. verzióban bizonyították. Más verziók is érintettek lehetnek.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: michaeldaw.org
SECUNIA 23587
Gyártói referencia: trac.wordpress.org