📚 WP Canvas Shortcodes Plugin 1.92 auf WordPress Stored Cross Site Scripting
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine Schwachstelle wurde in WP Canvas Shortcodes Plugin 1.92 auf WordPress ausgemacht. Sie wurde als problematisch eingestuft. Davon betroffen ist eine unbekannte Funktion. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle (Stored) ausgenutzt werden. Auswirkungen hat dies auf die Integrität.
Die Schwachstelle wurde am 19.11.2016 durch Yorick Koster als Stored Cross-Site Scripting in WP Canvas - Shortcodes WordPress Plugin in Form eines bestätigten Mailinglist Posts (Full-Disclosure) herausgegeben. Auf seclists.org kann das Advisory eingesehen werden. Eine Veröffentlichung wurde in Zusammenarbeit mit dem Projektteam angestrebt. Umgesetzt werden kann der Angriff über das Netzwerk. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Das Advisory weist darauf hin:
A Cross-Site Scripting vulnerability was found in the WP Canvas - Shortcodes WordPress Plugin. This issue allows an attacker to perform a wide variety of actions, such as stealing Administrators' session tokens, or performing arbitrary actions on their behalf. This issue can be exploited by authenticated users with the Contributor or higher role.
Ein Aktualisieren auf die Version 2.07 vermag dieses Problem zu lösen.
CVSSv3
Base Score: 3.5 [?]Temp Score: 3.4 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N/E:X/RL:O/RC:C [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N) [?]Temp Score: 3.0 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: Medium
CPE
Exploiting
Klasse: Cross Site ScriptingLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: WP Canvas Shortcodes Plugin 2.07
Timeline
19.11.2016 Advisory veröffentlicht21.11.2016 VulDB Eintrag erstellt
21.11.2016 VulDB letzte Aktualisierung
Quellen
Advisory: Stored Cross-Site Scripting in WP Canvas - Shortcodes WordPress PluginPerson: Yorick Koster
Status: Bestätigt
Koordiniert: Ja
Eintrag
Erstellt: 21.11.2016Eintrag: 74.7% komplett
...