CH azonosító
CH-5866Angol cím
WordPress Simple Balance Theme "s" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2011.10.30.Súlyosság
AlacsonyÉrintett rendszerek
Simple Balance themeWordPress
Érintett verziók
WordPress Simple Balance theme 2.x
Összefoglaló
A WordPress Simple Balance témájának olyan sérülékenységét jelentették, amelyet kihasználva a támadók cross-site scripting (CSS/XSS) támadásokat hajthatnak végre.
Leírás
Az “s” paraméterrel az index.php-nek átadott bemenet nincs megfelelően ellenőrizve a wp-content/themes/simplebalance/search.ph-ben mielőtt visszaadásra kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
A sérülékenységeket a 2.2.1. verzióban jelentették. Más verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 46671
Egyéb referencia: paparosse.blogspot.com