CH azonosító
CH-9294Angol cím
WordPress User Role Editor Plugin Cross-Site Request Forgery VulnerabilityFelfedezés dátuma
2013.05.26.Súlyosság
AlacsonyÉrintett rendszerek
User Role Editor PluginWordPress
Érintett verziók
WordPress User Role Editor Plugin 3.x
Összefoglaló
A WordPress User Role Editor bővítményének olyan sérülékenységét jelentették, amelyet kihasználva a támadók cross-site request forgery (XSRF/CSRF) támadásokat hajthatnak végre.
Leírás
Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ez kihasználható például bővítmény beállítások manipulálására, amennyiben egy bejelentkezett felhasználó meglátogat egy speciálisan megszerkesztett weboldalt.
A sérülékenységet a 3.12 verzióban jelentették, de korábbi kiadások is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 53593
Egyéb referencia: www.exploit-db.com
