WordPress Video Embed & Thumbnail Generator Plugin kód futtatás sérülékenység

CH azonosító

CH-6456

Angol cím

WordPress Video Embed & Thumbnail Generator Plugin Code Execution Vulnerabilities

Felfedezés dátuma

2012.02.26.

Súlyosság

Magas

Érintett rendszerek

Video Embed & Thumbnail Generator plugin
WordPress

Érintett verziók

WordPress Video Embed & Thumbnail Generator Plugin 1.x

Összefoglaló

A WordPress Video Embed & Thumbnail Generator bővítményének olyan sérülékenységét jelentették, amelyet a támadók kihasználva feltörhetik a sérülékeny rendszert.

Leírás

A wp-content/plugins/video-embed-thumbnail-generator/kg_callffmpeg.php különböző függvényeinek átadott bemeneti adatok nincs megfelelően ellenőrizve, mielőtt egy “exec()” meghívásban felhasználásra kerülne. Ez kihasználható tetszőleges shell parancsok befecskendezésére (inject) és futtatására.

A sérülékenységeket az 1.1 verzióban jelentették. Más verziók is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra