WordPress All in One Adsense and YPN bővítmény biztonsági korlátozás megkerülés sérülékenység

CH azonosító

CH-5370

Angol cím

WordPress All in One Adsense and YPN Plugin Security Bypass Vulnerability

Felfedezés dátuma

2011.08.12.

Súlyosság

Közepes

Érintett rendszerek

All in One Adsense and YPN plugin
WordPress

Érintett verziók

WordPress All in One Adsense and YPN plugin 2.x

Összefoglaló

A WordPress All in One Adsense and YPN bővítmény olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak bizonyos biztonsági korlátozások megkerülésére.

Leírás

Az alkalmazás nem korlátozza megfelelően a hozzáférést a wp-content/plugins/all-in-one-adsense-and-ypn/all-in-one-adsense-and-ypn.php scripthez, amely kihasználható a Google AdSense fiók részleteinek szerkesztésére és cross-site scripting támadások kezdeményezésére.

A sérülékenységet a 2.01. verzióban igazolták, de más verziók is érintettek lehetnek.

Megoldás

Korlátozza a hozzáférést a wp-content/plugins/all-in-one-adsense-and-ypn/all-in-one-adsense-and-ypn.php scripthez, pl. .htaccess segítségével!