WordPress dhtmlxspreadsheet Plugin ‘page’参数跨站脚本漏洞

日期: 2013/10/29 | 标签:wordpress | 游览：303

漏洞起因
输入验证错误
危险等级
中

影响系统
WordPress Spreadsheet Plugin 2.x

不受影响系统

危害
远程攻击者可以利用漏洞可获取敏感信息或者劫持用户会话。
CVSSv2:

攻击所需条件
攻击者必须访问WordPress Spreadsheet插件。

漏洞信息
WordPress是一种使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。
WordPress Spreadsheet插件wp-content/plugins/dhtmlxspreadsheet/codebase/spreadsheet.php不正确过滤用户提交的URL输入，允许攻击者利用漏洞构建恶意URI，诱使用户解析，当恶意数据被查看时可获取敏感信息或者劫持用户会话。

测试方法
安全建议

厂商解决方案
目前没有详细解决方案提供：
http://wordpress.org/plugins/dhtmlxspreadsheet/

漏洞提供者
Ashiyane Digital Security Team

← Red Hat JBoss Operations Network ‘storeFiles()’不安全临时目录创建漏洞

phpb2b本地文件包含漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

WordPress dhtmlxspreadsheet Plugin ‘page’参数跨站脚本漏洞

评论关闭。