XSRF+XSS уразливість в WordPress

23:54 27.09.2007

Деякий час тому в WordPress була виявлена Cross-Site Scripting уразливість (комбінована XSRF+XSS). Вона дозволяє через адміністратора сайта провести XSRF+XSS атаку.

Уразливість полягає в тому, що в коментарях адміністратора дозволені html теги (що дозволяє публікувати JavaScript код). І враховуючи те, що відсутня перевірка джерела запиту, можлива Cross-Site Request Forgery атака. Що дозволить атакувати адміна, для проведення XSS атаки на сайт, для розміщення в коментарях необхідного коду.

Уразлива версія WordPress 2.1.0 та попередні версії.


Leave a Reply

You must be logged in to post a comment.