CH azonosító
CH-5554Angol cím
WordPress Mini Mail Dashboard Widget Plugin Remote File Inclusion VulnerabilityFelfedezés dátuma
2011.09.13.Súlyosság
MagasÉrintett rendszerek
Mini Mail Dashboard Widget pluginWordPress
Érintett verziók
WordPress Mini Mail Dashboard Widget plugin 1.x
Összefoglaló
A WordPress Mini Mail Dashboard Widget beépülő moduljának sérülékenysége vált ismertté, amelyet kihasználva a támadók feltörhetik a sérülékeny rendszert.
Leírás
A wordpress/wp-content/plugins/mini-mail-dashboard-widget/wp-mini-mail.php “abspath” paraméterének átadott érték nincs megfelelően ellenőrizve, mielőtt fájlok beszúrásához használnák. Ezt kihasználva tetszőleges lokális és távoli fájl beszúrható.
A sérülékenység az 1.36. verzióban vált ismertté. Korábbi verziók is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: plugins.trac.wordpress.org
SECUNIA 45953