CH azonosító
CH-10646Angol cím
WordPress Alpine PhotoTile For Instagram "general_lightbox_params" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2014.02.26.Súlyosság
AlacsonyÉrintett rendszerek
Alpine PhotoTile for Instagram PluginWordPress
Érintett verziók
WordPress Alpine PhotoTile for Instagram Plugin 1.x
Összefoglaló
A WordPress Alpine PhotoTile For Instagram plugin sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting (CSS) támadást indíthatnak.
Leírás
A wp-admin/options-general.php “general_lightbox_params” POST paramétere (amikor a “page” értéke “alpine-photo-tile-for-instagram-settings” és a “tab” értéke “plugin-settings”) a felhasználóhoz való visszatérés előtt nincs megfelelően ellenőrizve, ezt kihasználva a felhasználó munkamenetében tetszőleges HTML és Javascript kód futtatható.
A sérülékenység a 1.2.6.5. verziót érinti, de egyéb kiadások is érintettek lehetnek.
Megoldás
Hivatalos megoldás jelenleg nem érhető el.
Támadás típusa
Cross Site Scripting (XSS/CSS)Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 57198
Egyéb referencia: hauntit.blogspot.dk
