WordPress Pretty Link Lite bővítmény cross-site scripting sérülékenység

CH azonosító

CH-8535

Angol cím

WordPress Pretty Link Lite Plugin "get-file" Cross-Site Scripting Vulnerability

Felfedezés dátuma

2013.02.20.

Súlyosság

Alacsony

Érintett rendszerek

Pretty Link Lite plugin
WordPress

Érintett verziók

WordPress Pretty Link Lite Plugin 1.x

Összefoglaló

A WordPress Pretty Link Lite bővítmény sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.

Leírás

A wp-content/plugins/pretty-link/includes/version-2-kvasir/open-flash-chart.swf részére a “get-file” GET paraméteren keresztül átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne.Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

A sérülékenységet az 1.6.2 verzióban jelentették, de korábbi kiadások is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra