WordPress Zingiri Web Shop plugin script beszúrásos sérülékenység


2012. május 3. 07:31

CH azonosító

CH-6787

Angol cím

WordPress Zingiri Web Shop Plugin Script Insertion Vulnerability

Felfedezés dátuma

2012.05.01.

Súlyosság

Közepes

Érintett rendszerek

WordPress
Zingiri Web Shop plugin

Érintett verziók

WordPress Zingiri Web Shop Plugin 2.x

Összefoglaló

A WordPress Zingiri Web Shop plugin egy sérülékenységét jelentették, amelyet kihasználva a támadók script beszúrásos (script insertion) támadást indíthatnak.

Leírás

Az index.php részére a ‘wsfeature1[]’ és ‘wsfeature2[]’ POST paraméterek által átadott bemeneti adatok (amikor az oldalon a ‘page’ beállítása ‘cart’ és az ‘action’ beállítása ‘add’ értékre van állítva) nincsenek megfelelően ellenőrizve felhasználás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

A sérülékenységet a 2.4.2-es verzióban jelentették, de más kiadások is érintve lehetnek.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 48998
Gyártói referencia: wordpress.org

Legfrissebb sérülékenységek
CVE-2024-31857 – WordPress Forminator plugin sérülékenysége
CVE-2024-31077 – WordPress Forminator plugin sérülékenysége
CVE-2024-28890 – WordPress Forminator plugin sérülékenysége
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
Tovább a sérülékenységekhez »