CH azonosító
CH-4562Angol cím
WordPress SodaHead Polls Plugin Two Cross-Site Scripting VulnerabilitiesFelfedezés dátuma
2011.03.17.Súlyosság
AlacsonyÉrintett rendszerek
SodaHead Polls pluginWordPress
Érintett verziók
WordPress SodaHead Polls Plugin 2.x
Összefoglaló
A WordPress SodaHead Polls plugin két olyan sérülékenységét jelentették, amelyeket a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadásokra.
Leírás
A wp-content/plugins/sodahead-polls/poll.php “customize” paraméterének és a wp-content/plugins/sodahead-polls/customizer.php “poll_id” paraméterének átadott bemeneti adatok ellenőrzése nem megfelelő, mielőtt azokat visszaadnák a felhasználóknak. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
A sérülékenységeket a 2.0.2 verzióban jelentették. Más verziók is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: wordpress.org
Egyéb referencia: www.htbridge.ch
Egyéb referencia: www.htbridge.ch
SECUNIA 43786