Više ranjivosti programskog paketa WordPress

Općenito

Home

Sigurnosna upozorenja

Dokumenti

OpenVAS

Jezična pomoć

Resource menu

Utorak, 24 Siječanj 2012 15:03

Više ranjivosti programskog paketa WordPress

U radu programskog paketa WordPress, odnosno u njegovom dodatku NextGEN Gallery, uočeno je više sigurnosnih ranjivosti. Radi se o popularnoj i besplatnoj platformi za objavljivanje bloga. Propusti se javljaju kao posljedica neispravne provjere ulaznih podataka predanih putem "paged" i "post_paged" POST parametra u određenim datotekama. Točan utjecaj spomenutih ranjivosti nije poznat. Svim se korisnicima preporuča nadogradnja na novu inačicu

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2012-01-006
Naslov: Vise ranjivosti programskog paketa WordPress
Datum: 2012-01-24
OS: Windows, Mac OS, Solaris, Linux, BSD
Programski paket: simpleSAMLphp
Tip sigurnosnog problema: XSS napad, pokretanje proizvoljnog HTML i skriptnog koda
Rizik: Malen
_______________________________________________________________________________

[1]  Uvod

U radu programskog paketa WordPress, odnosno njegovog dodatka NextGEN Gallery, 
uoceno je vise sigurnosnih ranjivosti.

WordPress je besplatni alat, napisan u programskom jeziku PHP, koji se koristi za 
stvaranje vlastitih web stranica ili blogova. 

NextGEN Gallery je dodatak koji korisnicima omogucuje dodavanje galerije alika. 

Bitnije od njezinih mogucnosti su:

- ima velik izbor predlozaka,
- omogucuje kopiranje i premjestanje,
- omogucuje dodavanje datoteka u zip obliku,
- ima JavaScript efekte,
- izbor visestrukih CSS stilova,
- izbor jezika,
- sortiranje slika i dr.

Vise informacija o navedenom programskom paketu dostupno je na sljedecim web adresama:

WordPress: 

http://wordpress.org/

Pretty Link:

http://wordpress.org/extend/plugins/nextgen-gallery/

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

U radu programskog paketa WordPress, odnosno njegovog dodatka NextGEN Gallery, 
uoceno je vise sigurnosnih ranjivosti ciji utjecaj nije poznat.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca nadogradnja na novu inacicu 1.9.1.  

-------------------------------------------------------------------------------

[4]  Analiza

Ranjivosti su uzrokovane neodgovarajuæom provjerom vrijednosti parametra "paged" u datotekama admin/manage-galleries.php, admin/manage-images.php i admin/manage.php te putem 
POST parametra "post_paged" u datoteci admin/manage.php.

Ranjivosti su potvrdjene u inacicama prije inacice 1.9.1.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustima otkrio je:

Jon Cave.

Tekst izvorne preporuke nalazi se na sljedecoj adresi:

SimpleSAMLphp:

http://wordpress.org/extend/plugins/nextgen-gallery/changelog/ i

http://code.google.com/p/nextgen-gallery/source/detail?r=1048.

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________