CH azonosító
CH-11641Angol cím
WordPress NextGEN vulnerabilitiesFelfedezés dátuma
2014.09.21.Súlyosság
KözepesÖsszefoglaló
A WordPress NextGEN Gallery plugin számos olyan hibát tartalmaz, amelyek XSS-alapú támadásra adhatnak lehetőséget.
Leírás
A fejlesztők az alábbi sérülékenységeket orvosolták:
- Hiányosság a “paged” paraméter ellenőrzésekor az admin/manage-galleries.php fájl esetében.
- Nem kellő szintű ellenőrzés az admin/album.php esetében alkalmazható currentID paraméter feldolgozásakor.
- Biztonsági rés a templates/upload_images.php és a templates/slideshow/index.php fájlokban.
- Sebezhetőség templates/upload_images.php fájlban.
A fenti biztonsági hibák tetszőleges HTML és script kódok futtatását tehetik lehetővé.
Megoldás
Frissítsen a legújabb verzióraMegoldás
A 2.0.66.17-es verzióra történő frissítés.
Támadás típusa
Cross Site Scripting (XSS/CSS)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: wordpress.org
Egyéb referencia: www.isbk.hu