Érintett rendszerek
WP-UserOnline pluginWordPress
Érintett verziók
WordPress WP-UserOnline Plugin 2.x
Összefoglaló
A WP-UserOnline plugin for WordPress olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak script beszúrás támadások kezdeményezésére.
Leírás
A telepítési útvonalat követően az URL-hez fűzött bemenet nem kerül megfelelően ellenőrzésre a wp-content/plugins/wp-useronline/wp-useronline.php-ben mielőtt a felhasználó részére megjelenítésre kerülne.
Ez kihasználható tetszőleges HTML és script kód befecskendezésére, amely a felhasználó böngészőjének munkamenetében kerül futtatásra az érintett oldal vonatkozásában, amikor a rosszindulatú adat megtekintésre kerül.
A sérülékenység a 2.62-es verzióban került megerősítésre. Más verziók is érintettek lehetnek.
Megoldás
Frissítsen a 2.70-es vagy újabb verzióra.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: scribu.net
Egyéb referencia: websecurity.com.ua
SECUNIA 40493
