CH azonosító
CH-10478Angol cím
WordPress WP Social Invitations Plugin "url" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2014.01.30.Súlyosság
AlacsonyÉrintett rendszerek
WP Social Invitations PluginWordPress
Érintett verziók
WordPress WP Social Invitations Plugin 1.x
Összefoglaló
A WordPress WP Social Invitations pluginjének sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting támadásokat hajthatnak végre.
Leírás
A wp-content/plugins/wp-social-invitations/test.php-ben az “url” paraméternek átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatban.
A sérülékenységet az 1.4.4.3 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: wordpress.org
SECUNIA 56711