CH azonosító
CH-7406Angol cím
WordPress RSVPMaker RVSP Report Script Insertion VulnerabilityFelfedezés dátuma
2012.08.15.Súlyosság
KözepesÖsszefoglaló
A WordPress RSVPMaker egy sérülékenységét jelentették, amit kihasználva a támadók script beszúrásos (script insertion) támadást hajthatnak végre.
Leírás
Az index.php részére átadott bizonyos bemeneti adat (amikor “rsvpmaker” értéke egy érvényes esemény) nem megfelelően van megtisztítva az RSVP report szekcióban történő felhasználás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenység a 2.5.5 előtti verziókat érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: wordpress.org
Gyártói referencia: plugins.trac.wordpress.org
Egyéb referencia: www.exploit-db.com
SECUNIA 50289
