Межсайтовый скриптинг в WordPress EWWW Image Optimizer

Дата публикации:	09.10.2014
Дата изменения:	24.10.2014
Всего просмотров:	1339
Опасность:	Низкая
Наличие исправления:	Да
Количество уязвимостей:	1
CVSSv2 рейтинг:	5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
CVE ID:	CVE-2014-6243
Вектор эксплуатации:	Удаленная
Воздействие:	Межсайтовый скриптинг
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	WordPress EWWW Image Optimizer 2.х
	Уязвимые версии: WordPress EWWW Image Optimizer 2.0.1, возможно более ранние версии Описание: Уязвимость позволяет удаленному пользователю осуществить XSS-атаку. Уязвимость существует из-за недостаточной обработки входных данных в HTTP GET параметре "page" в сценарии /wp-admin/options-general.php. Удаленный пользователь может с помощью специально сформированной ссылки выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Примечание: Для успешной эксплуатации уязвимости необходимо, чтобы функция JavaScript "alert()" отображала куки администратора. URL производителя: https://wordpress.org/plugins/google-calendar-events/ Решение: Установите последнюю версию 2.0.2 с сайта производителя.
Ссылки:	https://www.htbridge.com/advisory/HTB23234

Межсайтовый скриптинг в WordPress EWWW Image Optimizer

Подпишитесь на email рассылку