WordPress Video Lead Form bővítmény cross-site scripting sérülékenység


2012. december 1. 07:06

CH azonosító

CH-8027

Angol cím

WordPress Video Lead Form Plugin "errMsg" Cross-Site Scripting Vulnerability

Felfedezés dátuma

2012.11.29.

Súlyosság

Alacsony

Érintett rendszerek

Video Lead Form Plugin
WordPress

Érintett verziók

WordPress Video Lead Form Plugin 0.x

Összefoglaló

A WordPress Video Lead Form bővítmény olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat tudnak végrehajtani.

Leírás

Az “errMsg” paraméterrel a wp-admin/admin.php részére átadott bementi adat (amikor a “page” beállítása “video-lead-form”) nincsen megfelelően megtisztítva a felhasználónak történő visszaadás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

A sérülékenység a 0.5 verzióban található.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 51419
Egyéb referencia: packetstormsecurity.org