CH azonosító
CH-7127Angol cím
WordPress Zingiri Web Shop Plugin "abspath" Remote File Inclusion VulnerabilityFelfedezés dátuma
2012.07.01.Súlyosság
MagasÉrintett rendszerek
WordPressZingiri Web Shop plugin
Érintett verziók
WordPress Zingiri Web Shop Plugin 2.x
Összefoglaló
A WordPress Zingiri Web Shop bővítményének olyan sérülékenységét jelentették, amelyet a támadók kihasználva feltörhetik a sérülékeny rendszert.
Leírás
Az “abspath” paraméter által átadott bemeneti adatok a wp-content/plugins/zingiri-web-shop/fws/download.php részére nincsenek megfelelően ellenőrizve, mielőtt fájlok befoglalásához felhasználásra kerülne. Ez kihasználható tetszőleges helyi vagy külső erőforrásokból való fájlok befoglalásához.
A sérülékenységet a 2.4.6 verzióban jelentették, de más kiadások is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: wordpress.org
Gyártói referencia: plugins.trac.wordpress.org
SECUNIA 49676
