WordPress Spider Calendar bővítmény cross-site scripting sérülékenység

CH azonosító

CH-7836

Angol cím

WordPress Spider Calendar Plugin "many_sp_calendar" Cross-Site Scripting Vulnerability

Felfedezés dátuma

2012.10.23.

Súlyosság

Alacsony

Érintett rendszerek

Spider Calendar Plugin
WordPress

Érintett verziók

Wordpress Spider Calendar Plugin 1.x

Összefoglaló

A WordPress Spider Calendar bővítmény olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat tudnak végrehajtani.

Leírás

A “many_sp_calendar” paraméterrel a wp-content/plugins/spider-calendar/front_end/bigcalendar.php részére átadott bemeneti adat nincsen megfelelően megtisztítva a felhasználónak történő visszaadás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

A sérülékenység az 1.1.0 verzióban található, de egyéb kiadások is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra