CH azonosító
CH-6003Angol cím
WordPress MeeNews Plugin "idnews" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2011.11.24.Súlyosság
AlacsonyÖsszefoglaló
A WordPress MeeNews bővítményének olyan sérülékenységét fedezték fel, melyet a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadásokra.
Leírás
A wp-admin/admin.php „idnews” paraméterének átadott bemenet nincs megfelelően ellenőrizve a wp-content/plugins/meenews/inc/tpl/mee_editot_newsletter.php-ban (ha a „page” beállított értéke „newsletter_manager.php” és az „acc” értéke „edit”), mielőtt visszaadnák azt a felhasználónak. Ez kihasználható tetszőleges HTML és script kód lefuttatására a felhasználó böngészői munkamenetében, az érintett oldallal kapcsolatosan.
A sérülékenységet az 5.1.0. verzióban igazolták. Más verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)