WordPress – Product Review Lite plugin sérülékenység

Wordpress - Product Review Lite plugin sérülékenység
Angol cím: Wordpress - Product Review Lite plugin vulnerability

CH azonosító: CH-14887
Publikálás dátuma: 2020.05.19.
Utolsó módosítás dátuma: 2020.05.19.


Leírás

A WordPress tartalomkezelő rendszer Product Review Lite pluginjának kritikus kockázati besorolású sérülékenysége vált ismertté, amelyet kihasználva a jogosultsággal nem rendelkező, távoli támadó úgynevezett “Stored XSS” típusú támadást hajthat végre, és ezáltal átveheti a sebezhető weboldal feletti irányítást.

Leírás forrása: Egyéb referencia: labs.sucuri.net Leírás utolsó módosítása: 2020.05.19.


Elemzés leírás

A WordPress nyílt forráskódú, PHP-alapú tartalomkezelő és blog-rendszer, ami a MySQL adatbáziskezelőt használja adattárolásra. A Product Review Lite plugin segítségével a weboldal tulajdonosa előre definiált sablonok felhasználásával egyedi áttekintő cikkeket készíthet. A most nyilvánosságra került sérülékenység kihasználásával a jogosultsággal nem rendelkező, távoli támadó úgynevezett “Stored XSS” típusú támadást hajthat végre, ezáltal rendszergazdai jogosultságokat szerezhet, valamint átveheti a sebezhető weboldal feletti irányítást. Mivel a támadások automatizálhatóak, a sérülékenység széles körben, könnyen kihasználható.

A WordPress Product Review Lite fejlesztője, a ThemeIsle, a plugin 3.7.6-os verziójában javította a biztonsági rést.

Érintett eszközök:
WordPress Product Review Lite 3.7.6 előtti verziói

Elemzés leírás forrása: Egyéb referencia: labs.sucuri.net


Hatás



Hivatkozások

Egyéb referencia: labs.sucuri.net
Egyéb referencia: securityaffairs.co
Egyéb referencia: www.bleepingcomputer.com


Legfrissebb sérülékenységek
CVE-2023-1289 – ImageMagick sérülékenysége
CVE-2023-1050 – Koc Energy Web Report System sérülékenysége
CVE-2022-22512 – VARTA Storage Web-UI sérülékenysége
CVE-2023-25859 – Adobe Illustrator sérülékenysége
CVE-2023-25860 – Adobe Illustrator sérülékenysége
CVE-2023-25861 – Adobe Illustrator sérülékenysége
CVE-2023-26358 – Adobe Creative Cloud sérülékenysége
CVE-2023-26426 – Adobe Illustrator sérülékenysége
CVE-2023-27855 – Rockwell Automation's ThinManager ThinServer sérülékenysége
CVE-2023-1529 – Google Chrome sérülékenysége
Tovább a sérülékenységekhez »