Összefoglaló
Az WordPress sérülékenysége vált ismertté.
Leírás
A WordPress egyik bővítményében adatmanipulációkra lehetőséget adó biztonsági hiba található. A sérülékenység esetenként SQL injection alapú támadásokra is módot adhat.
A sebezhetőséget ezúttal a WP Symposium plugin for WordPress tartalmazza. A hiba a wp-symposium/ajax/mail_functions.php fájlban található, amely a tray paramétert nem ellenőrzi megfelelően. Ezáltal tetszőleges SQL utasítások válhatnak lefuttathatóvá.
A biztonsági rést a 14.12-es verzió biztosan tartalmazza, de elképzelhető, hogy egyéb kiadások is érintettek.
Megoldás
Manuálisan elvégzett kódmódosítás.
Támadás típusa
Manipulation of dataSQL Injection
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu
Gyártói referencia: security.szurek.pl