CH azonosító
CH-6062Angol cím
WordPress s2Member Plugin "s2_invoice" Custom Capabilities Security Bypass VulnerabilityFelfedezés dátuma
2011.12.07.Súlyosság
AlacsonyÖsszefoglaló
A WordPress s2Member plugin olyan sérülékenysége vált ismertté, amelyet kihasználva rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági szabályokat.
Leírás
Az „s2_invoice” paraméternek átadott bemeneti adat a fizetési URL-eken belül nincsen megfelelően ellenőrizve mielőtt termékeknek hozzáférést adna egyéni képességek használatakor. Ez kihasználható tetszőleges termékekhez történő hozzáférésre egyes képességek elérésével.
A következő fizetési kapuk érintettek:
* ccBill® Buttons
* ClickBank® Buttons
* Google® Checkout Buttons
* PayPal® Buttons with disabled „Button Encryption”
A sérülékenység a 111206-ost megelőző verziókban található.
Megoldás
Frissítsen a 111206-os verzióra. Engedélyezze a „Button Encryption”-t az „Account Details”-en belül „PayPal Options”-nál „PayPal® Buttons” használatakor.
Támadás típusa
Security bypass (Biztonsági szabályok megkerülése)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 47101
Gyártói referencia: wordpress.org
Egyéb referencia: www.primothemes.com