CH azonosító
CH-8220Angol cím
WordPress Zingiri Forum Plugin "url" Arbitrary File Disclosure VulnerabilityFelfedezés dátuma
2013.01.08.Súlyosság
KözepesÉrintett rendszerek
WordPressZingiri Forum Plugin
Érintett verziók
WordPress Zingiri Forum bővítmény 1.x
Összefoglaló
A WordPress Zingiri Forum bővítmény olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak bizalmas információk megszerzésére.
Leírás
Az “url” paraméterrel az index.php részére átadott bemeneti adat (amikor “zforum” értéke “css”) a “zing_forum_output()” függvényben (wp-content/plugins/zingiri-forum/forum.php) nincs megfelelően ellenőrizve, mielőtt fájlok olvasásában kerülne felhasználásra. Ez könyvtárbejárásos támadásokkal kihasználható tetszőleges fájlok tartalmi felfedésére.
A sérülékenységet 1.4.2 verzióban ismerték fel, de más kiadások is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: wordpress.org
SECUNIA 50833
CVE-2012-4920 - NVD CVE-2012-4920
