1. Reverse Engineering >
  2. Sicherheitslücken >
  3. Update `wp_kses_bad_protocol()` to recognize `:` on uri attributes

ArabicEnglishFrenchGermanGreekItalianJapaneseKoreanPersianPolishPortugueseRussianSpanishTurkishVietnamese

Update `wp_kses_bad_protocol()` to recognize `:` on uri attributes


Exploits vom | Direktlink: portal.patchman.co Nachrichten Bewertung

Update makes sure to validate that uri attributes don’t contain invalid/or not allowed protocols. While this works fine in most cases, there’s a risk that by using the colon html5 named entity, one is able to bypass this function.

This vulnerability affects the following application versions:

  • WordPress 3.5
  • WordPress 3.5.1
  • WordPress 3.5.2
  • WordPress 3.6
  • WordPress 3.6.1
  • WordPress 3.7
  • WordPress 3.7.1
  • WordPress 3.7.2
  • WordPress 3.7.3
  • WordPress 3.7.4
  • WordPress 3.7.5
  • WordPress 3.7.6
  • WordPress 3.7.7
  • WordPress 3.7.8
  • WordPress 3.7.9
  • WordPress 3.7.10
  • WordPress 3.7.11
  • WordPress 3.7.12
  • WordPress 3.7.13
  • WordPress 3.7.14
  • WordPress 3.7.15
  • WordPress 3.7.16
  • WordPress 3.7.17
  • WordPress 3.7.18
  • WordPress 3.7.19
  • WordPress 3.7.20
  • WordPress 3.7.21
  • WordPress 3.7.22
  • WordPress 3.7.23
  • WordPress 3.7.24
  • WordPress 3.7.25
  • WordPress 3.7.26
  • WordPress 3.7.27
  • WordPress 3.7.28
  • WordPress 3.7.29
  • WordPress 3.7.30
  • WordPress 3.7.31
  • WordPress 3.8
  • WordPress 3.8.1
  • WordPress 3.8.2
  • WordPress 3.8.3
  • WordPress 3.8.4
  • WordPress 3.8.5
  • WordPress 3.8.6
  • WordPress 3.8.7
  • WordPress 3.8.8
  • WordPress 3.8.9
  • WordPress 3.8.10
  • WordPress 3.8.11
  • WordPress 3.8.12
  • WordPress 3.8.13
  • WordPress 3.8.14
  • WordPress 3.8.15
  • WordPress 3.8.16
  • WordPress 3.8.17
  • WordPress 3.8.18
  • WordPress 3.8.19
  • WordPress 3.8.20
  • WordPress 3.8.21
  • WordPress 3.8.22
  • WordPress 3.8.23
  • WordPress 3.8.24
  • WordPress 3.8.25
  • WordPress 3.8.26
  • WordPress 3.8.27
  • WordPress 3.8.28
  • WordPress 3.8.29
  • WordPress 3.8.30
  • WordPress 3.8.31
  • WordPress 3.9
  • WordPress 3.9.1
  • WordPress 3.9.2
  • WordPress 3.9.3
  • WordPress 3.9.4
  • WordPress 3.9.5
  • WordPress 3.9.6
  • WordPress 3.9.7
  • WordPress 3.9.8
  • WordPress 3.9.9
  • WordPress 3.9.10
  • WordPress 3.9.11
  • WordPress 3.9.12
  • WordPress 3.9.13
  • WordPress 3.9.14
  • WordPress 3.9.15
  • WordPress 3.9.16
  • WordPress 3.9.17
  • WordPress 3.9.18
  • WordPress 3.9.19
  • WordPress 3.9.20
  • WordPress 3.9.21
  • WordPress 3.9.22
  • WordPress 3.9.23
  • WordPress 3.9.24
  • WordPress 3.9.25
  • WordPress 3.9.26
  • WordPress 3.9.27
  • WordPress 3.9.28
  • WordPress 3.9.29
  • WordPress 4.0
  • WordPress 4.0.1
  • WordPress 4.0.2
  • WordPress 4.0.3
  • WordPress 4.0.4
  • WordPress 4.0.5
  • WordPress 4.0.6
  • WordPress 4.0.7
  • WordPress 4.0.8
  • WordPress 4.0.9
  • WordPress 4.0.10
  • WordPress 4.0.11
  • WordPress 4.0.12
  • WordPress 4.0.13
  • WordPress 4.0.14
  • WordPress 4.0.15
  • WordPress 4.0.16
  • WordPress 4.0.17
  • WordPress 4.0.18
  • WordPress 4.0.19
  • WordPress 4.0.20
  • WordPress 4.0.21
  • WordPress 4.0.22
  • WordPress 4.0.23
  • WordPress 4.0.24
  • WordPress 4.0.25
  • WordPress 4.0.26
  • WordPress 4.0.27
  • WordPress 4.0.28
  • WordPress 4.1
  • WordPress 4.1.1
  • WordPress 4.1.2
  • WordPress 4.1.3
  • WordPress 4.1.4
  • WordPress 4.1.5
  • WordPress 4.1.6
  • WordPress 4.1.7
  • WordPress 4.1.8
  • WordPress 4.1.9
  • WordPress 4.1.10
  • WordPress 4.1.11
  • WordPress 4.1.12
  • WordPress 4.1.13
  • WordPress 4.1.14
  • WordPress 4.1.15
  • WordPress 4.1.16
  • WordPress 4.1.17
  • WordPress 4.1.18
  • WordPress 4.1.19
  • WordPress 4.1.20
  • WordPress 4.1.21
  • WordPress 4.1.22
  • WordPress 4.1.23
  • WordPress 4.1.24
  • WordPress 4.1.25
  • WordPress 4.1.26
  • WordPress 4.1.27
  • WordPress 4.1.28
  • WordPress 4.2
  • WordPress 4.2.1
  • WordPress 4.2.10
  • WordPress 4.2.11
  • WordPress 4.2.12
  • WordPress 4.2.13
  • WordPress 4.2.14
  • WordPress 4.2.15
  • WordPress 4.2.16
  • WordPress 4.2.17
  • WordPress 4.2.18
  • WordPress 4.2.2
  • WordPress 4.2.3
  • WordPress 4.2.4
  • WordPress 4.2.5
  • WordPress 4.2.6
  • WordPress 4.2.7
  • WordPress 4.2.8
  • WordPress 4.2.9
  • WordPress 4.2.19
  • WordPress 4.2.20
  • WordPress 4.2.21
  • WordPress 4.2.22
  • WordPress 4.2.23
  • WordPress 4.2.24
  • WordPress 4.2.25
  • WordPress 4.3
  • WordPress 4.3.1
  • WordPress 4.3.2
  • WordPress 4.3.3
  • WordPress 4.3.4
  • WordPress 4.3.5
  • WordPress 4.3.6
  • WordPress 4.3.7
  • WordPress 4.3.8
  • WordPress 4.3.9
  • WordPress 4.3.10
  • WordPress 4.3.11
  • WordPress 4.3.12
  • WordPress 4.3.13
  • WordPress 4.3.14
  • WordPress 4.3.15
  • WordPress 4.3.16
  • WordPress 4.3.17
  • WordPress 4.3.18
  • WordPress 4.3.19
  • WordPress 4.3.20
  • WordPress 4.3.21
  • WordPress 4.4
  • WordPress 4.4.1
  • WordPress 4.4.2
  • WordPress 4.4.3
  • WordPress 4.4.4
  • WordPress 4.4.5
  • WordPress 4.4.6
  • WordPress 4.4.7
  • WordPress 4.4.8
  • WordPress 4.4.9
  • WordPress 4.4.10
  • WordPress 4.4.11
  • WordPress 4.4.12
  • WordPress 4.4.13
  • WordPress 4.4.14
  • WordPress 4.4.15
  • WordPress 4.4.16
  • WordPress 4.4.17
  • WordPress 4.4.18
  • WordPress 4.4.19
  • WordPress 4.4.20
  • WordPress 4.5
  • WordPress 4.5.1
  • WordPress 4.5.2
  • WordPress 4.5.3
  • WordPress 4.5.4
  • WordPress 4.5.5
  • WordPress 4.5.6
  • WordPress 4.5.7
  • WordPress 4.5.8
  • WordPress 4.5.9
  • WordPress 4.5.10
  • WordPress 4.5.11
  • WordPress 4.5.12
  • WordPress 4.5.13
  • WordPress 4.5.14
  • WordPress 4.5.15
  • WordPress 4.5.16
  • WordPress 4.5.17
  • WordPress 4.5.18
  • WordPress 4.5.19
  • WordPress 4.6
  • WordPress 4.6.1
  • WordPress 4.6.10
  • WordPress 4.6.11
  • WordPress 4.6.12
  • WordPress 4.6.13
  • WordPress 4.6.2
  • WordPress 4.6.3
  • WordPress 4.6.4
  • WordPress 4.6.5
  • WordPress 4.6.6
  • WordPress 4.6.7
  • WordPress 4.6.8
  • WordPress 4.6.9
  • WordPress 4.6.14
  • WordPress 4.6.15
  • WordPress 4.6.16
  • WordPress 4.7
  • WordPress 4.7.1
  • WordPress 4.7.2
  • WordPress 4.7.3
  • WordPress 4.7.4
  • WordPress 4.7.5
  • WordPress 4.7.6
  • WordPress 4.7.7
  • WordPress 4.7.8
  • WordPress 4.7.9
  • WordPress 4.7.10
  • WordPress 4.7.11
  • WordPress 4.7.12
  • WordPress 4.7.13
  • WordPress 4.7.14
  • WordPress 4.7.15
  • WordPress 4.8
  • WordPress 4.8.1
  • WordPress 4.8.2
  • WordPress 4.8.3
  • WordPress 4.8.4
  • WordPress 4.8.5
  • WordPress 4.8.6
  • WordPress 4.8.7
  • WordPress 4.8.8
  • WordPress 4.8.9
  • WordPress 4.8.10
  • WordPress 4.8.11
  • WordPress 4.9
  • WordPress 4.9.1
  • WordPress 4.9.10
  • WordPress 4.9.2
  • WordPress 4.9.3
  • WordPress 4.9.4
  • WordPress 4.9.5
  • WordPress 4.9.6
  • WordPress 4.9.7
  • WordPress 4.9.8
  • WordPress 4.9.9
  • WordPress 4.9.11
  • WordPress 4.9.12
  • WordPress 5.0
  • WordPress 5.0.1
  • WordPress 5.0.2
  • WordPress 5.0.3
  • WordPress 5.0.4
  • WordPress 5.0.6
  • WordPress 5.0.7
  • WordPress 5.0 Beta 1
  • WordPress 5.0 Beta 2
  • WordPress 5.0 Beta 3
  • WordPress 5.0 Beta 4
  • WordPress 5.0 RC1
  • WordPress 5.0 RC2
  • WordPress 5.0 RC3
  • WordPress 5.1
  • WordPress 5.1.1
  • WordPress 5.1.2
  • WordPress 5.1.3
  • WordPress 5.2
  • WordPress 5.2.1
  • WordPress 5.2.2
  • WordPress 5.2.3
  • WordPress 5.2.4
  • WordPress 5.2 Beta 1
  • WordPress 5.2 Beta 2
  • WordPress 5.3
...
https://portal.patchman.co/detections/rss/vulnerabilities/3880

Externe Quelle mit kompletten Inhalt anzeigen


Zur Startseite von Team IT Security

➤ Weitere Beiträge von Team Security | IT Sicherheit

HPR3164: I'm Learning Spanish

vom 290.21 Punkte ic_school_black_18dp
I decided to use my time spent in relative isolation to do something productive and learn another language. I picked Spanish because I am hoping to visit Mexico and other Latin American countries whenever the plague lifts. I decided to document this fo

ASP.NET Core and Blazor updates in .NET Core 3.0 Preview 7

vom 289.54 Punkte ic_school_black_18dp
.NET Core 3.0 Preview 7 is now available and it includes a bunch of new updates to ASP.NET Core and Blazor. Here’s the list of what’s new in this preview: Latest Visual Studio preview includes .NET Core 3.0 as the default runtime Top level ASP.NET Core templates in Visu

HPR3165: Spanish Tools Continued

vom 271.54 Punkte ic_school_black_18dp
I decided to use my time spent in relative isolation to do something productive and learn another language. I picked Spanish because I am hoping to visit Mexico and other Latin American countries whenever the plague lifts. I decided to document this fo

D-Link DGS-1510-28XMP bis 1.31 erweiterte Rechte [CVE-2017-6205]

vom 269.01 Punkte ic_school_black_18dp
Es wurde eine kritische Schwachstelle in D-Link DGS-1510-28XMP, DGS-1510-28X, DGS-1510-52X, DGS-1510-52, DGS-1510-28P, DGS-1510-28 sowie DGS-1510-20 bis 1.31 gefunden. Hiervon betroffen ist eine unbekannte Funktion. Durch die Manipulation mit einer un

D-Link DGS-1510-28XMP bis 1.31 Information Disclosure [CVE-2017-6206]

vom 269.01 Punkte ic_school_black_18dp
In D-Link DGS-1510-28XMP, DGS-1510-28X, DGS-1510-52X, DGS-1510-52, DGS-1510-28P, DGS-1510-28 sowie DGS-1510-20 bis 1.31 wurde eine problematische Schwachstelle gefunden. Betroffen ist eine unbekannte Funktion. Durch Manipulation mit einer unbekannten Ei

HPR3137: Coronavirus Update 2020-07-30

vom 230.27 Punkte ic_school_black_18dp
This is an update to my earlier shows to pull together what we know about the Coronavirus on this date, and what measures we can take. It focuses on the lack of solid information at this point and suggests a prudent course to stay safe. https://www.palain.com/health-topics/coronavirus-update-20200730/ https://j

Gemalto HASP SRM/Sentinel HASP/Sentinel LDK bis 7.54 Language Pack Update NTLM schwache Authentisierung

vom 200.66 Punkte ic_school_black_18dp
In Gemalto HASP SRM, Sentinel HASP sowie Sentinel LDK bis 7.54 wurde eine kritische Schwachstelle ausgemacht. Dabei geht es um eine unbekannte Funktion der Komponente Language Pack Update. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine s

Gemalto HASP SRM/Sentinel HASP/Sentinel LDK bis 7.54 Admin Interface erweiterte Rechte

vom 198.15 Punkte ic_school_black_18dp
In Gemalto HASP SRM, Sentinel HASP sowie Sentinel LDK bis 7.54 wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Das betrifft eine unbekannte Funktion der Komponente Admin Interface. Dank Manipulation mit einer unbekannten Eingabe kan

Gemalto HASP SRM/Sentinel HASP/Sentinel LDK bis 7.54 Pufferüberlauf

vom 198.15 Punkte ic_school_black_18dp
Es wurde eine Schwachstelle in Gemalto HASP SRM, Sentinel HASP sowie Sentinel LDK bis 7.54 entdeckt. Sie wurde als kritisch eingestuft. Es betrifft eine unbekannte Funktion. Dank der Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle au

Gemalto HASP SRM/Sentinel HASP/Sentinel LDK bis 7.54 XML Parser Stack-based Pufferüberlauf

vom 198.15 Punkte ic_school_black_18dp
Es wurde eine problematische Schwachstelle in Gemalto HASP SRM, Sentinel HASP sowie Sentinel LDK bis 7.54 ausgemacht. Es geht dabei um eine unbekannte Funktion der Komponente XML Parser. Durch Manipulieren mit einer unbekannten Eingabe kann eine Puffer

Gut Microbes Combine To Cause Colon Cancer, Study Suggests

vom 189.66 Punkte ic_school_black_18dp
An anonymous reader quotes a report from The New York Times (Warning: source may be paywalled; alternative source): Two types of bacteria commonly found in the gut work together to fuel the growth of colon tumors, researchers reported on Thursday. Their

HPR2900: Better Social Media 01 - Introduction

vom 177.53 Punkte ic_school_black_18dp
While many people like to use social media, platforms like Twitter and Facebook are very unsatisfying, not to mention inimical to your security and privacy. Fortunately there are alternatives we can try, and in this series I want to explore a few of

Team Security Diskussion über Update `wp_kses_bad_protocol()` to recognize `:` on uri attributes