WordPress WP e-Commerce Predictive Search bővítmény cross-site scripting sérülékenység

2012. november 28. 09:30

CH azonosító

CH-8007

Angol cím

WordPress WP e-Commerce Predictive Search Plugin "rs" Cross-Site Scripting Vulnerability

Felfedezés dátuma

2012.11.26.

Súlyosság

Alacsony

Érintett rendszerek

WP e-Commerce Predictive Search Plugin
WordPress

Érintett verziók

WordPress WP e-Commerce Predictive Search Plugin 1.x

Összefoglaló

A WordPress WP e-Commerce Predictive Search bővítmény olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat tudnak végrehajtani.

Leírás

Az index.php részére az “rs” paraméterrel átadott bemeneti adat (amikor a “page_id” prediktív keresési oldalra van állítva) nincsen megfelelően megtisztítva a felhasználónak történő visszaadás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

A sérülékenységet az 1.1.1 verzióban jelentették, de egyéb kiadások is érintettek lehetnek.

Legfrissebb sérülékenységek

CVE-2024-41110 – Docker Engine AuthZ pluginok sérülékenysége

CVE-2024-20401 – Cisco Secure Email Gateway sérülékenysége

CVE-2024-20419 – Cisco Smart Software Manager On-Prem sérülékenysége

CVE-2024-21687 – Atlassian Bamboo Data Center és Server sérülékenysége

CVE-2024-6385 – GitLab CE/EE sérülékenysége

CVE-2024-22280 – VMware Aria Automation sérülékenysége

CVE-2024-5217 – ServiceNow hiányos feketelista sérülékenysége

CVE-2024-5178 – ServiceNow hiányos feketelista sérülékenysége

CVE-2024-4879 – Service Now Inpud Validation sérülékenysége

CVE-2024-6151 – Citrix Virtual Apps and Desktops sérülékenysége

Tovább a sérülékenységekhez »

WordPress WP e-Commerce Predictive Search bővítmény cross-site scripting sérülékenység