WordPress Artiss Code Embed bővítmény cross-site scripting sérülékenysége


2012. július 9. 09:54

CH azonosító

CH-7158

Angol cím

WordPress Artiss Code Embed Plugin "suffix" Cross-Site Scripting Vulnerability

Felfedezés dátuma

2012.07.08.

Súlyosság

Alacsony

Érintett rendszerek

Artiss Code Embed Plugin
WordPress

Érintett verziók

WordPress Artiss Code Embed Plugin 2.x

Összefoglaló

Az Artiss Code Embed WordPress bővítmény egy sérülékenységét jelentették, amelyet kihasználva a támadók cross-site scripting (XSS/CSS) támadást indíthatnak.

Leírás

A “suffix” paraméteren keresztül (ha a “page” “ace-search” beállításon van) a wp-admin/admin.php részére átadott bemeneti adat nincs megfelelően megtisztítva a wp-content/plugins/simple-embed-code/includes/ace-search.php script-ben, mielőtt az visszakerülne a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

A sérülékenységet a 2.0.2 előtti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: wordpress.org
Gyártói referencia: plugins.trac.wordpress.org
Gyártói referencia: plugins.trac.wordpress.org
SECUNIA 49848

Legfrissebb sérülékenységek
CVE-2025-54100 – PowerShell Remote Code Execution sérülékenység
CVE-2025-64671 – GitHub Copilot for Jetbrains Remote Code Execution sérülékenység
CVE-2025-62221 – Microsoft Windows Use After Free sérülékenység
CVE-2025-55754 – Apache Tomcat sérülékenysége
CVE-2025-42880 – SAP Solution Manager Code Injection sérülékenység
CVE-2025-42928 – SAP jConnect sérülékenység
CVE-2021-35211 – Serv-U Remote Memory Escape sérülékenysége
CVE-2025-66644 – Array Networks ArrayOS AG OS Command Injection sérülékenysége
CVE-2022-37055 – D-Link Routers Buffer Overflow sérülékenysége
CVE-2025-54988 – Apache Tika sérülékenysége
Tovább a sérülékenységekhez »