CH azonosító
CH-4263Angol cím
WordPress x7Host's Videox7 UGC Plugin "listid" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2011.01.25.Súlyosság
AlacsonyÉrintett rendszerek
WordPressx7Host's Videox7 UGC plugin
Érintett verziók
WordPress x7Host's Videox7 UGC plugin 2.x
Összefoglaló
A WordPress x7Host’s Videox7 UGC bővítmény olyan sérülékenysége vált ismertté, melyet kihasználva támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.
Leírás
A “listid” paraméternek átadott bemenet a wordpress/wp-content/plugins/x7host-videox7-ugc-plugin/x7listplayer.php-ben nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében az érintett oldallal kapcsolatosan.
A sérülékenység a 2.5.3.2. verzióban található, de egyéb verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.autosectools.com
SECUNIA 43069