CH azonosító
CH-10452Angol cím
WordPress WebEngage Plugin Multiple Cross-Site Scripting VulnerabilitiesFelfedezés dátuma
2014.01.28.Súlyosság
AlacsonyÖsszefoglaló
A WebEngage plugin for WordPress sérülékenységeit jelentették, melyeket kihasználva cross-site scripting támadás idézhető elő.
Leírás
Az alábbi paraméterek a felhasználóhoz való visszatérés előtt nincsenek megfelelően ellenőrizve, így ezeken tetszőleges HTML és JS kód futtatható:
- A “webengage_license_code”, a “verification_message”,és a “webengage_widget_status” paraméterek a wp-content/plugins/webengage/callback.php oldalon
- A “message” és az “error-message” paraméterek a wp-admin/option-general.php oldalon
- A “height” paraméter a wp-content/plugins/webengage/resize.php oldalon
A sérülékenységet a 2.0.0. verzióból jelentették, de egyéb kiadások is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen a 2.0.1. verzióra.
Támadás típusa
Cross Site Scripting (XSS/CSS)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 56700
Egyéb referencia: wordpress.org
