CH azonosító
CH-6849Angol cím
WordPress CataBlog Plugin "category" Cross-Site Scripting VulnerabilitiesFelfedezés dátuma
2012.05.14.Súlyosság
AlacsonyÖsszefoglaló
A WordPress CataBlog bővítményének két olyan sérülékenységét jelentették, amelyeket a támadók kihasználva cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.
Leírás
A „catageory” paraméter által átadott bemenet a wp-admin/admin.php részére (amikor a „page” értéke „catablog-gallery” vagy „catablog”) nincs megfelelően megtisztítva, mielőtt a felhasználónak visszaadásra kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
A sérülékenységeket az 1.6.2 verzióban jelentették. Korábbi verziók is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 49088
Egyéb referencia: packetstormsecurity.org