CH azonosító
CH-8892Angol cím
WordPress Black and White Theme ZeroClipboard "id" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2013.04.09.Súlyosság
AlacsonyÉrintett rendszerek
Black and White ThemeWordPress
Érintett verziók
WordPress Black and White Theme 1.x
Összefoglaló
A WordPress Black and White theme olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.
Leírás
Az “id” paraméterrel a wp-content/themes/black-and-white/framework/admin/assets/js/ZeroClipboard.swf részére átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó részére visszaküldésre kerülne. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenységet az 1.5. verzióban ismerték fel, de más verziók is érintettek lehetnek.
Megoldás
IsmeretlenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 52493
Egyéb referencia: packetstormsecurity.org
Egyéb referencia: websecurity.com.ua