DFN-CERT-2014-0447 WP-PostViews, WordPress: Eine Schwachstelle ermöglicht Cross-Site Request Forgery [Linux][Windows]

DFN-CERT-2014-0447 WP-PostViews, Wordpress: Eine Schwachstelle ermöglicht Cross-Site Request Forgery [Linux][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

WP-PostViews <= 1.62 Worpress Betroffene Plattformen: WordPress 2.0.x WordPress 2.1.x WordPress 2.2.x WordPress 2.3.x WordPress 2.5.x WordPress 2.6.x WordPress 2.7.x Eine Cross-Site Request Forgery (CSRF)-Schwachstelle erlaubt einem entfernten, nicht authentisierter Angreifer die Session eines angemeldeten Administrators zu übernehmen, um Konfigurationseinstellungen für das Plug-in zu verändern. Patch: WordPress Changelog http://wordpress.org/plugins/wp-postviews/changelog

CVE-2013-3252: Schwachstelle in WordPress PostViews Plug-in erlaubt
Cross-Site Request Forgery (CSRF)

Eine Schwachstelle besteht in den Optionen der Admin-Webseite im
WP-PostViews Plug-in bevor 1.63 für WordPress. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um Cross-Site
Request Forgery (CSRF)- Angriffe gegen Administratoren durchzuführen. Dieses
ermöglicht ihm, unter bestimmten Umständen die Session eines angemeldeten
Administrators zu übernehmen, für Anfragen, welche die
Konfigurationseinstellungen für das Plug-in verändern.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0447/

Schwachstelle CVE-2013-3252 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3252

WordPress Changelog:
http://wordpress.org/plugins/wp-postviews/changelog

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben