WordPress WP-UserOnline Plugin script befecskendezés sérülékenység


2010. július 13. 07:56

CH azonosító

CH-3307

Felfedezés dátuma

2010.07.11.

Súlyosság

Közepes

Érintett rendszerek

WP-UserOnline plugin
WordPress

Érintett verziók

WordPress WP-UserOnline Plugin 2.x

Összefoglaló

A WP-UserOnline plugin for WordPress olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak script beszúrás támadások kezdeményezésére.

Leírás

A telepítési útvonalat követően az URL-hez fűzött bemenet nem kerül megfelelően ellenőrzésre a wp-content/plugins/wp-useronline/wp-useronline.php-ben mielőtt a felhasználó részére megjelenítésre kerülne.
Ez kihasználható tetszőleges HTML és script kód befecskendezésére, amely a  felhasználó böngészőjének munkamenetében kerül futtatásra az érintett oldal vonatkozásában, amikor a rosszindulatú adat megtekintésre kerül.

A sérülékenység a 2.62-es verzióban  került megerősítésre. Más verziók is érintettek lehetnek.

Megoldás

Frissítsen a 2.70-es vagy újabb verzióra.

Támadás típusa

Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: scribu.net
Egyéb referencia: websecurity.com.ua
SECUNIA 40493

Legfrissebb sérülékenységek
CVE-2025-60710 – Microsoft Windows Link Following sérülékenység
CVE-2012-1854 – Microsoft Visual Basic for Applications Insecure Library Loading sebezhetőség
CVE-2026-35459 – pyLoad sérülékenysége
CVE-2021-4473 – Tianxin Internet Behavior Management System sérülékenysége
CVE-2025-39666 – Checkmk sérülékenysége
CVE-2026-22679 – Weaver (Fanwei) E-cology sérülékenysége
CVE-2026-5735 – Mozilla sérülékenysége
CVE-2026-0740 – Ninja Forms WordPress plugin sérülékenység
CVE-2026-35616 – Fortinet FortiClient EMS Improper Access Control sérülékenység
CVE-2026-5281 – Google Dawn Use-After-Free sérülékenység
Tovább a sérülékenységekhez »