Vulnerabilità non risolta su Video Gallery WordPress Plugin


Pubblicato il: 15 Luglio 2014 , Ultimo aggiornamento: 25 Giugno 2018

Nuova vulnerabilità scoperta per un plugin wordpress: si tratta di Video Gallery WordPress Plugin (in vendita online a 15 dollari), un plugin a pagamento di CodeCanyon che permette di realizzare gallerie di video nel proprio blog. Il rischio introdotto sul sito è quello di Cross-Site Scripting, Full path disclosure ed esecuzione di comandi del sistema operativo direttamente dal browser dell’attaccante.

La vulnerabilità è stata segnalata ma a quanto pare è stata ignorata dall’autore, almeno al momento in cui scrivo.

La falla nello specifico permetterebbe di accedere pubblicamente a:

/wp-content/plugins/dzs-videogallery/deploy/designer/preview.php?swfloc=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
wp-content/plugins/dzs-videogallery/videogallery.php

dando così una chance di attacco a qualsiasi utente non loggato. Gli utenti che usano wordpress versione gratuita su wordpress.com sono apparentemente non interessati alla cosa.

Fonte e maggior dettagli: seclists

Nessun voto disponibile

Che te ne pare?

Grazie per aver letto Vulnerabilità non risolta su Video Gallery WordPress Plugin di Salvatore Capolupo su Trovalost.it
Vulnerabilità non risolta su Video Gallery WordPress Plugin (News)

Articoli più letti su questi argomenti: