WP DS FAQ Plus 1.4.1 (Stored XSS probleem gevonden)

Beveiligingslek

WP DS FAQ Plus 1 4 1 is kwetsbaar voor het opslaan van kwaadwillige code.

Bewijs van concept

Een gebruiker die rechten heeft om de FAQ/Vragen te wijzigen kan kwaadwillige code toevoegen aan de vragen.
Zie hieronder een film waar dit probleem gedemonstreerd wordt.


Gegevens over de plug-in

Naam van de plug-in: Video on Admin Dashboard
Makers van de plugin: Kimiya Kitani
Website van de makers: http://kitaney.jp/kitani/tools/wordpress/
Website van de WordPress plug-in: https://wordpress.org/plugins/wp-ds-faq-plus/

Tijd lijn

  • Woensdag 22 januari 2020: Beveiligingslek gevonden door Wilco de Jongh.
  • Woensdag 22 januari 2020: Beveiligingslek gemeld aan de makers. 
  • Donderdag 23 januari 2020: Beveilingslek bevestigd en gemaakt door makers in versie 1.4.2
  • Vrijdag 24 januari 2020: Beveilingslek bekend gemaakt op wpvulndb.com.
© Copyright 2019 Softlink ICT | Algemene voorwaarden | privacy | cookies