WordPress Zingiri Web Shop Plugin “wpabspath” fájl befoglalási sérülékenységek

CH azonosító

CH-5578

Angol cím

WordPress Zingiri Web Shop Plugin "wpabspath" File Inclusion Vulnerabilities

Felfedezés dátuma

2011.09.19.

Súlyosság

Magas

Érintett rendszerek

WordPress
Zingiri Web Shop plugin

Érintett verziók

WordPress Zingiri Web Shop Plugin 2.x

Összefoglaló

A WordPress Zingiri Web Shop Plugin olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók feltörhetik a sérülékeny rendszert.

Leírás

A “wpabspath” paraméteren keresztül a wp-content/plugins/zingiri-web-shop/fws/ajax/init.inc.php-nek és a wp-content/plugins/zingiri-web-shop/fwkfor/ajax/init.inc.php részére átadott bemeneti adat nincsen megfelelően ellenőrizve fájlok befoglalása előtt. Ez kihasználható tetszőleges fájlok befoglalására helyi és kiterjesztett erőforrásokból.

A sérülékenységet a 2.2.0-ás verzióban jelentették, továbbá megelőző verziók is érintettek lehetnek.

Megoldás

Frissítsen a 2.2.1-es verzióra.