CH azonosító
CH-6697Angol cím
WordPress SH Slideshow Plugin TimThumb "src" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2012.04.12.Súlyosság
AlacsonyÖsszefoglaló
A WordPress SH Slideshow bővítmény olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások kezdeményezésére.
Leírás
Az „src” paraméteren keresztül a wp-content/plugins/sh-slideshow/timthumb.php részére átadott bemeneti adat nem kerül megfelelően ellenőrzésre, mielőtt a felhasználó részére visszaküldésre kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
További információ az alábbi sérülékenység 1-es pontjában olvasható:
CERT-Hungary CH-4747
A sérülékenységet a 3.1.7. verzióban ismerték fel, de megelőző verziók is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: wordpress.org
CERT-Hungary CH-4747
SECUNIA 48815
SECUNIA 44126
