WordPress Zingiri Form Builder bővítmény cross-site scripting sérülékenység

2012. október 24. 11:19

CH azonosító

CH-7822

Angol cím

WordPress Zingiri Form Builder Plugin "error" Cross-Site Scripting Vulnerability

Felfedezés dátuma

2012.10.22.

Súlyosság

Alacsony

Érintett rendszerek

WordPress
Zingiri Form Builder Plugin

Érintett verziók

WordPress Zingiri Form Builder Plugin 1.x

Összefoglaló

A WordPress Zingiri Form Builder bővítmény sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.

Leírás

A wp-admin/admin.php részére (amikor “page” értéke “form”) az “error” paraméteren keresztül átadott bemeneti adat nincs megfelelően megtisztítva a wp-content/plugins/form/controlpanel.php-ben, mielőtt a felhasználó számára visszaadásra kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

A sérülékenységet az 1.2.0 verzióban jelentették, de más kiadások is érintettek lehetnek.

Legfrissebb sérülékenységek

CVE-2023-27394 – Osprey Pump Controller sérülékenysége

CVE-2023-27886 – Osprey Pump Controller sérülékenysége

CVE-2023-1516 – RoboDK sérülékenysége

CVE-2022-3683 – Hitachi Energy’s MicroSCADA System Data Manager SDM600 sérülékenysége

CVE-2022-3682 – Hitachi Energy’s MicroSCADA System Data Manager SDM600 sérülékenysége

CVE-2023-28596 – Zoom Client for IT Admin macOS sérülékenysége

CVE-2023-28650 – SAUTER EY-modulo 5 Building Automation Stations sérülékenysége

CVE-2023-20951 – Google Android, Google Android (12L) sérülékenysége

CVE-2023-20954 – Google Android, Google Android (12L) sérülékenysége

CVE-2023-28303 – Windows képmetsző sérülékenysége

Tovább a sérülékenységekhez »

WordPress Zingiri Form Builder bővítmény cross-site scripting sérülékenység