Sebezhető bővítmények – 2017 február
Ez év második hónapjában is temérdek WordPress bővítmény sebezhetőség került fókuszba.
Többségét már kijavítottak természetesen a fejlesztők. Viszont most vannak ezek között olyan bővítények is, melyek nagyon sok WP honlapon üzemelnek.
2017 februári sebezhetőségek:
-
Google XML Sitemaps – Authenticated Reflected XSS
-
VaultPress – Backend Server SSL Verification Disabled
-
Google Analytics Dashboard – Authenticated Cross-Site Scripting (XSS) – (2017-03-05: nincs javítva)
- NextGEN Gallery 2.1.77 és korábbi verziók – Unauthenticated SQL Injection
- GTranslate 2.8.10 és korábbi verziók – Unauthenticated Open Redirect
- Popup by Supsystic – Cross-Site Request Forgery (CSRF)
- WP-SpamFree Anti-Spam – (XSS) – (2017-03-05: nincs javítva)
- User Login Log – (XSS) – (2017-03-05: nincs javítva)
- Download Manager – (CSRF)
- Contact Form Manager – CSRF és (XSS) – (2017-03-05: nincs javítva)
- Contact Form by BestWebSoft 4.0.1 és korábbi verziók – Stored Cross-Site Scripting (XSS)
- Gwolle Guestbook 2.1.0 és korábbi verziók – Cross-Site Request Forgery (CSRF)
- NewStatPress 1.2.4 és korábbi verziók – Stored Cross-Site Scripting (XSS) – (2017-03-05: nincs javítva)
- Analytics Stats Counter Statistics – Unauthenticated PHP Object Injection – (2017-03-05: nincs javítva)
- Admin Custom Login – (XSS)
- Global Content Blocks – (CSRF) – (2017-03-05: nincs javítva)
- Alpine PhotoTile – (XSS)