CH azonosító
CH-4464Angol cím
WordPress YT-Audio Plugin "v" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2011.02.27.Súlyosság
AlacsonyÉrintett rendszerek
WordPressYT-Audio: Audio Hosting From YouTube in WordPress plugin
Érintett verziók
WordPress YT-Audio: Audio Hosting From YouTube in WordPress Plugin 1.x
Összefoglaló
A WordPress YT-Audio: Audio Hosting From YouTube in WordPress bővítményének olyan sérülékenységét jelentették, amelyet a támadók kihasználva cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.
Leírás
A „v” paraméter által átadott bemeneti adat a wp-content/plugins/yt-audio-streaming-audio-from-youtube/frame.php-nek nincs megfelelően ellenőrizve, mielőtt visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
A sérülékenységet az 1.7 verzióban jelentették. Más verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 43539
Gyártói referencia: www.autosectools.com