WordPress Zopim Live Chat bővítmény cross-site scripting sérülékenység


2013. március 12. 10:15

CH azonosító

CH-8679

Angol cím

WordPress Zopim Live Chat Plugin ZeroClipboard Cross-Site Scripting Vulnerability

Felfedezés dátuma

2013.03.11.

Súlyosság

Alacsony

Érintett rendszerek

WordPress
Zopim Live Chat Plugin

Érintett verziók

WordPress Zopim Live Chat Plugin 1.x

Összefoglaló

A WordPress Zopim Live Chat bővítmény egy sérülékenységét jelentették, amit kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.

Leírás

A wp-content/plugins/zopim-live-chat/ZeroClipboard.swf részére az “id” paraméteren keresztül átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználónak visszaadásra kerülne. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

A sérülékenységet az 1.2.5 verzióban jelentették, de más kiadások is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: wordpress.org
Egyéb referencia: www.openwall.com
SECUNIA 52566

Legfrissebb sérülékenységek
CVE-2023-40088 – Android sérülékenysége
CVE-2023-40076 – Android sérülékenysége
CVE-2023-40077 – Android sérülékenysége
CVE-2023-49093 – HtmlUnit sérülékenysége
CVE-2023-42917 – Apple iOS sérülékenysége
CVE-2023-42916 – Apple iOS sérülékenysége
CVE-2023-37928 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-4474 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-4473 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-37927 – Zyxel NAS326 firmware sérülékenysége
Tovább a sérülékenységekhez »