WordPress Artiss Code Embed bővítmény cross-site scripting sérülékenysége

CH azonosító

CH-7158

Angol cím

WordPress Artiss Code Embed Plugin "suffix" Cross-Site Scripting Vulnerability

Felfedezés dátuma

2012.07.08.

Súlyosság

Alacsony

Érintett rendszerek

Artiss Code Embed Plugin
WordPress

Érintett verziók

WordPress Artiss Code Embed Plugin 2.x

Összefoglaló

Az Artiss Code Embed WordPress bővítmény egy sérülékenységét jelentették, amelyet kihasználva a támadók cross-site scripting (XSS/CSS) támadást indíthatnak.

Leírás

A “suffix” paraméteren keresztül (ha a “page” “ace-search” beállításon van) a wp-admin/admin.php részére átadott bemeneti adat nincs megfelelően megtisztítva a wp-content/plugins/simple-embed-code/includes/ace-search.php script-ben, mielőtt az visszakerülne a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

A sérülékenységet a 2.0.2 előtti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra