WordPress Code Insert Manager bővítmény cross-site scripting sérülékenység

CH azonosító

CH-8657

Angol cím

WordPress Code Insert Manager Plugin ZeroClipboard Cross-Site Scripting Vulnerability

Felfedezés dátuma

2013.03.07.

Súlyosság

Alacsony

Érintett rendszerek

Code Insert Manager Plugin
WordPress

Érintett verziók

WordPress Code Insert Manager Plugin 2.x

Összefoglaló

A WordPress Code Insert Manager bővítmény olyan sérülékenységét jelentették, amelyet a támadók kihasználva cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.

Leírás

Az “id” paraméter által a wp-content/q2w3-inc-manager/q2w3-table/_js/zeroclipboard/ZeroClipboard.swf részére átadott bemeneti adatok nincsenek megfelelően megtisztítva, mielőtt visszaadásra kerülnének. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.

A sérülékenységet a 2.3.1 verzióban jelentették, de korábbi kiadások is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra