WordPress PHP Speedy Plugin cross-site scripting és távoli fájl beillesztés sérülékenység

2011. március 8. 08:21

CH azonosító

CH-4506

Angol cím

WordPress PHP Speedy Plugin Cross-Site Scripting and Remote File Inclusion Vulnerabilities

Felfedezés dátuma

2011.03.06.

Súlyosság

Magas

Érintett rendszerek

PHP Speedy plugin
WordPress

Érintett verziók

WordPress PHP Speedy Plugin 0.x

Összefoglaló

A WordPress PHP Speedy Plugin olyan sérülékenysége vált ismertté, melyet kihasználva támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre és feltörhetik a felhasználó rendszerét.

Leírás

A wp-content/plugins/php_speedy_wp/libs/php_speedy/view/admin_container.php “title” paraméterének átadott bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.
A “page” paraméterrel a wp-content/plugins/php_speedy_wp/libs/php_speedy/view/admin_container.php-nek átadott bemenet nincs megfelelően ellenőrizve mielőtt fájlok beillesztéséhez használnák. Ez kihasználható tetszőleges fájlok beillesztésére helyi vagy távoli erőforrásokból.

A sérülékenységek sikeres kihasználásához a “register_globals”-nak engedélyezve kell legyen.

A sérülékenységek a 0.5.2. verzióban találhatók, de egyéb verziók is érintettek lehetnek.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-6463 – Wordpress sérülékenység

CVE-2024-51978 – Brother sérülékenység

CVE-2025-6543 – Citrix NetScaler sérülékenysége

CVE-2014-4078 – Microsoft Exchange szerver sérülékenység

CVE-2025-6170 – Red Hat sebezhetősége

CVE-2025-6021 – Red Hat sebezhetősége

CVE-2025-49796 – Red Hat sebezhetősége

CVE-2025-5777 – Citrix NetScaler sebezhetősége

CVE-2025-49825 – Teleport sebezhetősége

Tovább a sérülékenységekhez »

WordPress PHP Speedy Plugin cross-site scripting és távoli fájl beillesztés sérülékenység