CH azonosító
CH-9347Angol cím
WordPress underConstruction Plugin Cross-Site Request Forgery VulnerabilityFelfedezés dátuma
2013.06.03.Súlyosság
AlacsonyÉrintett rendszerek
WordPressunderConstruction plugin
Érintett verziók
WordPress underConstruction bővítmény 1.x
Összefoglaló
A WordPress underConstruction bővítmény olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site request forgery (XSRF/CSRF) támadásokat indíthatnak.
Leírás
Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ez kihasználható pl. a bővítmény beállításainak megváltoztatására, amikor a bejelentkezett felhasználó meglátogat egy speciálisan kialakított weboldalt.
A sérülékenységet az 1.08. verzióban ismerték fel, de korábbi kiadások is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: wordpress.org
SECUNIA 52881
CVE-2013-2699 - NVD CVE-2013-2699