Межсайтовый скриптинг в плагинах для WordPress

Дата публикации:
24.04.2015
Дата изменения:
24.04.2015
Всего просмотров:
1373
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
WordPress Jetpack Plugin 2.x
WordPress All in One SEO Pack Plugin 2.x
WordPress WP eCommerce Plugin 3.х
WordPress WPtouch Plugin 1.x
WordPress Download Monitor Plugin 3.x
WordPress Related Posts Plugin 2.x
WordPress My Calendar Plugin 2.x
Уязвимые версии:
WordPress Jetpack
WordPress SEO
WordPress Google Analytics by Yoast
WordPress All In one SEO
WordPress Gravity Forms
Плагины для WordPress от Easy Digital Downloads
WordPress UpdraftPlus
WordPress WP-E-Commerce
WordPress WPTouch
WordPress Download Monitor
WordPress Related Posts for WordPress
WordPress My Calendar
WordPress P3 Profiler
WordPress Give
WordPress Broken-Link-Checker
WordPress Ninja Forms, возможно, другие плагины

Описание:

Удаленный пользователь может осуществить XSS-атаку.

Уязвимость существует из-за ошибки при обработке входных данных в функциях "add_query_arg()" и "remove_query_arg()". Удаленный пользователь может осуществить XSS-атаку.


URL производителя: https://ru.wordpress.org/

Решение: Установите последнюю версию с сайта производителя, если она доступна.

Ссылки: https://blog.sucuri.net/2015/04/security-advisory-xss-vulnerability-affecting-multiple-wordpress-plugins.html