CH azonosító
CH-5709Angol cím
WordPress Redirection Plugin "Referer" Header Script Insertion VulnerabilityFelfedezés dátuma
2011.10.05.Súlyosság
KözepesÖsszefoglaló
A WordPress Redirection plugin sérülékenysége vált ismertté, amelyet kihasználva a támadók script beszúrásos (script insertion) támadásokat hajthatnak végre.
Leírás
A “Referer” HTTP header paraméterben átadott adat, nem létező “post”-ok megtekintésekor, nincs megfelelően megtisztítva, mielőtt a felhasználó számára megjelenítésre kerülne. Ez kihasználható tetszőleges HTML és script kód beszúrására, melyek lefuttatásra kerülnek a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan, a káros adatok megtekintésekor.
A sérülékenységet a 2.2.9 verzióban igazolták. Korábbi verziók is érintettek lehetnek.
Megoldás
Frissítsen a 2.2.10 verzióra
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: wordpress.org
Gyártói referencia: plugins.trac.wordpress.org
SECUNIA 46310