DFN-CERT-2014-0481 XCloner WordPress Plug-in: Eine Schwachstelle ermöglicht Cross-Site-Request-Forgery(CSRF)-Angriffe [Linux][Windows]

DFN-CERT-2014-0481 XCloner Wordpress Plug-in: Eine Schwachstelle ermöglicht Cross-Site-Request-Forgery(CSRF)-Angriffe [Linux][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

XCloner <= 3.1.0 WordPress Betroffene Plattformen: Apple Mac OS Linux Kernel Microsoft Windows Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle für CSRF-Angriffe ausnutzen und dadurch Zugriff zu vertraulichen Informationen erhalten. Patch: Download XCloner - Backup and Restore http://wordpress.org/plugins/xcloner-backup-and-restore/changelog/

CVE-2014-2340: CSRF-Schwachstelle in XCloner Plug-in für WordPress

Eine Schwachstelle im XCloner Plug-in für WordPress ermöglicht CSRF-Angriffe
und im Weiteren den Zugriff auf Back-up Kopien der betroffenen Website. Die
Schwachstelle basiert auf einer unzureichenden Verifizierung der Herkunft
von HTTP Requests. Ein entfernter Angreifer kann einen angemeldeten
Systemadministrator durch eine manipulierte Webseite dazu verleiten, ein
Back-up der Website zu erstellen. Dieses Back-up ist dann durch einen
einfachen Exploit-Code öffentlich zugänglich unter
http://[host]/administrator/backups/backup.tar.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0481/

Schwachstelle CVE-2014-2340 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2340

Download XCloner – Backup and Restore:
http://wordpress.org/plugins/xcloner-backup-and-restore/changelog/

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben