CH azonosító
CH-8381Angol cím
WordPress yolink Search Plugin "s" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2013.01.31.Súlyosság
AlacsonyÉrintett rendszerek
WordPressyolink Search plugin
Érintett verziók
WordPress yolink Search Plugin 2.x
Összefoglaló
A WordPress yolink Search egy sérülékenységét jelentették, amit kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.
Leírás
A sérülékenységet az okozza, hogy az index.php részére az „s” GET paraméterrel átadott bemeneti adatok nem megfelelően vannak megtisztítva a felhasználónak történő visszaadás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenységet a 2.5 verzióban jelentették, de más kiadások is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: wordpress.org
Gyártói referencia: plugins.trac.wordpress.org
SECUNIA 52030
