WordPress Calendar bővítmény cross-site request forgery sérülékenység

CH azonosító

CH-9131

Angol cím

WordPress Calendar Plugin Cross-Site Request Forgery Vulnerability

Felfedezés dátuma

2013.05.05.

Súlyosság

Alacsony

Érintett rendszerek

Calendar Plugin
WordPress

Érintett verziók

WordPress Calendar Plugin 1.x

Összefoglaló

A WordPress Calendar bővítmény sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site request forgery (XSRF/CSRF) támadásokat hajthatnak végre.

Leírás

Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ezt kihasználva pl. naptárbejegyzéseket lehet felvenni, amikor egy bejelentkezett felhasználó meglátogat egy speciálisan formázott weboldalt.

A sérülékenységet az 1.3.2 verzióban jelentették, de korábbi kiadások is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra