CH azonosító
CH-10477Angol cím
WordPress Nokia Maps & Places Plugin "href" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2014.01.30.Súlyosság
AlacsonyÉrintett rendszerek
Nokia Maps & Places pluginWordPress
Érintett verziók
WordPress Nokia Maps & Places Plugin 1.x
Összefoglaló
A WordPress Nokia Maps & Places pluginjének sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting (CSS/XSS) támadásokat hajthatnak végre.
Leírás
A /wp-content/plugins/social-connect/diagnostics/test.php-nek a “href” GET paraméteren keresztül átadott URL-ből kapott bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatban.
A sérülékenységet az 1.6.6 verzióban jelentették, de korábbi kiadások is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: plugins.trac.wordpress.org
Egyéb referencia: seclists.org
SECUNIA 56604