📚 All In One WP Security & Firewall Plugin bis 4.1.9 auf WordPress Cross Site Scripting
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
In All In One WP Security & Firewall Plugin bis 4.1.9 auf WordPress wurde eine problematische Schwachstelle gefunden. Dabei geht es um eine unbekannte Funktion. Durch Manipulation mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Dies wirkt sich aus auf die Integrität.
Die Schwachstelle wurde am 16.11.2016 durch Yorick Koster als Cross-Site Scripting in All In One WP Security & Firewall WordPress Plugin in Form eines bestätigten Mailinglist Posts (Full-Disclosure) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter seclists.org. Die Veröffentlichung wurde in Zusammenarbeit mit dem Hersteller durchgeführt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. Das Advisory weist darauf hin:
A Cross-Site Scripting vulnerability was found in the All In One WP Security & Firewall Plugin. This issue allows an attacker to perform a wide variety of actions, such as stealing Administrators' session tokens, or performing arbitrary actions on their behalf. In order to exploit this issue, the attacker has to lure/force a logged on WordPress Administrator into opening a malicious website.
Ein Upgrade auf die Version 4.2.0 vermag dieses Problem zu beheben.
CVSSv3
Base Score: 3.5 [?]Temp Score: 3.4 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N/E:X/RL:O/RC:C [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N) [?]Temp Score: 3.0 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: Medium
CPE
- cpe:/a:all_in_one_wp_security_&_firewall_plugin:all_in_one_wp_security_&_firewall_plugin:4.1.4
- cpe:/a:all_in_one_wp_security_&_firewall_plugin:all_in_one_wp_security_&_firewall_plugin:4.1.5
- cpe:/a:all_in_one_wp_security_&_firewall_plugin:all_in_one_wp_security_&_firewall_plugin:4.1.6
- cpe:/a:all_in_one_wp_security_&_firewall_plugin:all_in_one_wp_security_&_firewall_plugin:4.1.7
- cpe:/a:all_in_one_wp_security_&_firewall_plugin:all_in_one_wp_security_&_firewall_plugin:4.1.8
- cpe:/a:all_in_one_wp_security_&_firewall_plugin:all_in_one_wp_security_&_firewall_plugin:4.1.9
Exploiting
Klasse: Cross Site ScriptingLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: All In One WP Security & Firewall Plugin 4.2.0
Timeline
16.11.2016 Advisory veröffentlicht17.11.2016 VulDB Eintrag erstellt
17.11.2016 VulDB letzte Aktualisierung
Quellen
Advisory: Cross-Site Scripting in All In One WP Security & Firewall WordPress PluginPerson: Yorick Koster
Status: Bestätigt
Koordiniert: Ja
Eintrag
Erstellt: 17.11.2016Eintrag: 74.2% komplett
...