CH azonosító
CH-7158Angol cím
WordPress Artiss Code Embed Plugin "suffix" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2012.07.08.Súlyosság
AlacsonyÉrintett rendszerek
Artiss Code Embed PluginWordPress
Érintett verziók
WordPress Artiss Code Embed Plugin 2.x
Összefoglaló
Az Artiss Code Embed WordPress bővítmény egy sérülékenységét jelentették, amelyet kihasználva a támadók cross-site scripting (XSS/CSS) támadást indíthatnak.
Leírás
A “suffix” paraméteren keresztül (ha a “page” “ace-search” beállításon van) a wp-admin/admin.php részére átadott bemeneti adat nincs megfelelően megtisztítva a wp-content/plugins/simple-embed-code/includes/ace-search.php script-ben, mielőtt az visszakerülne a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenységet a 2.0.2 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: wordpress.org
Gyártói referencia: plugins.trac.wordpress.org
Gyártói referencia: plugins.trac.wordpress.org
SECUNIA 49848