CH azonosító
CH-5411Angol cím
WordPress Global Content Blocks Plugin "gcb" SQL Injection VulnerabilityFelfedezés dátuma
2011.08.18.Súlyosság
KözepesÉrintett rendszerek
Global Content Blocks pluginWordPress
Érintett verziók
WordPress Global Content Blocks Plugin 1.x
Összefoglaló
A WordPress-hez készített Global Content Blocks plugin egy sérülékenységét jelentették, amelyet kihasználva a támadók SQL befecskendezéses (SQL injection) támadást indíthatnak.
Leírás
A wp-content/plugins/global-content-blocks/gcb/gcb_export.php fájlban lévő “gcb” változónak átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésben felhasználásra kerülne. Ez kihasználható az SQL lekérdezések módosítására, tetszőleges SQL kód befecskendezésével.
A sérülékenységet az 1.2 verzióban jelentették, de egyéb kiadások is érintve lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: wordpress.org
Egyéb referencia: unconciousmind.blogspot.com
SECUNIA 45684
