Összefoglaló
A WordPress kapcsán két biztonsági hiba orvoslására nyílt lehetőség. Ezek elsősorban XSS-alapú támadásokhoz járulhatnak hozzá.
Leírás
A sérülékenységeket az okozza, hogy az alkalmazás esetenként nem ellenőrzi megfelelően a bemeneti paramétereket, aminek következtében tetszőleges HTML és script kódokkal lehet visszaélni.
Emellett olyan hibára is fény derült, amely a Quick Draft funkció egy sebezhetőségére vezethető vissza.
A fenti sérülékenységek kihasználására Contributor, Author és Subscriber szerepkörök megléte esetén van lehetőség.
Megoldás
A 4.2.3-as verzióra történő frissítés.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Privilege escalation (jogosultság kiterjesztés)
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: wordpress.org
Egyéb referencia: isbk.hu
CVE-2015-5622 - NVD CVE-2015-5622
CVE-2015-5623 - NVD CVE-2015-5623