Összefoglaló
A WordPress WPtouch bővítményének olyan sérülékenységét jelentették, amelyet a támadók kihasználva cross-site request forgery (XSRF/CSRF) támadásokat hajthatnak végre.
Leírás
Az alkalmazás lehetővé tesz bizonyos műveleteket HTTP kéréseken keresztül, a kérések ellenőrzése nélkül. Ezt kihasználva például fájlokat lehetséges törölni, egy bejelentkezett adminisztrátor esetén, a kártékony weboldal megtekintése során.
A sérülékenységet az 1.9.31. verzióban jelentették. Korábbi verziók is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Misconfiguration (Konfiguráció)Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 47422
Gyártói referencia: wordpress.org
Gyártói referencia: plugins.trac.wordpress.org
Egyéb referencia: www.boiteaweb.fr