CH azonosító
CH-9228Angol cím
WordPress Mail On Update Plugin Cross-Site Request Forgery VulnerabilityFelfedezés dátuma
2013.05.16.Súlyosság
AlacsonyÉrintett rendszerek
Mail On Update PluginWordPress
Érintett verziók
WordPress Mail On Update bővítmény 5.x
Összefoglaló
A WordPress Mail On Update bővítmény olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site request forgery (XSRF/CSRF) támadásokat indíthatnak.
Leírás
Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ez kihasználható pl. a bővítmény beállításainak módosítására, ha egy bejelentkezett felhasználó meglátogat egy speciálisan elkészített weboldalt.
A sérülékenységet az 5.1.0 verzióban ismerték fel, de más kiadások is érintettek lehetnek.
Megoldás
IsmeretlenTámadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 53449
Egyéb referencia: www.openwall.com