WordPress Multisite Global Search Plugin “mssearch” cross-site scripting sérülékenység

CH azonosító

CH-5637

Angol cím

WordPress Multisite Global Search Plugin "mssearch" Cross-Site Scripting Vulnerability

Felfedezés dátuma

2011.09.27.

Súlyosság

Alacsony

Érintett rendszerek

Multisite Global Search plugin
WordPress

Érintett verziók

WordPress Multisite Global Search plugin 1.x

Összefoglaló

A WordPress Multisite Global Search bővítményének olyan sérülékenységét fedezték fel, melyet a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások indítására.

Leírás

A wp-content/plugins/multisite-global-search/inc/shortcodes.php-ban, az “mssearch” paraméterrel az URL-nek átadott bemenet ellenőrzése nem megfelelő, mielőtt visszaadnák azt a felhasználónak. Ez kihasználható tetszőleges HTML és script kód lefuttatására, a felhasználó érintett oldallal kapcsolatos böngészői munkamenetében.

A sérülékenységet az 1.2.5. verzióban igazolták. Korábbi verziók is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra