1
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

WordPress Add Link To Facebook 1.215 Cross Site Scripting

Тема в разделе "Веб-Уязвимости | Эксплуатация", создана пользователем Favertes, 29 апр 2015.

  1. TopicStarter Overlay
    Favertes

    Favertes

    Регистрация:
    14 апр 2015
    Сообщения:
    65
    Симпатии:
    27
    Source Please login or register to view links
    Код:
    Title: Stored XSS Vulnerability in Add Link to Facebook Wordpress Plugin
    
    Author: Rohit Kumar
    
    Plugin Homepage: http://wordpress.org/extend/plugins/add-link-to-facebook/
    
    Severity: Medium
    
    Version Affected: Version 1.215 and mostly prior to it.
    
    Version Tested: Version 1.215
    
    Version Patched : 1.215
    
    Description:
    
    Vulnerable Parameter
    1. App ID
    2. App Secret
    3. Custom Picture URL
    4. Default Picture URL
    5. URL News Feed Icon
    
    About Vulnerability
    This plugin is vulnerable to Stored Cross Site Scripting Vulnerability. This issue was exploited when user
    accessed to “Add Link to Facebook” Settings in Wordpress with Administrator privileges. A malicious
    administrator can hijack other user’s sessions, take control of another administrator’s browser or install
    malware on their computer.
    
    Vulnerability Class:
    Cross Site Scripting (https://www.owasp.org/index.php/Top_10_2013-A3-Cross-Site_Scripting_(XSS))
    
    Steps to Reproduce:
    After installing the plugin:
     Goto Settings All in One Facebook
     Input this payload in “App ID” :- “><script>alert(1)</script>
     Click on the Save button.
     After reloading the page you will see a Pop Up Box with 1 written on it.
     Reload the page again to make sure it’s stored.
    
    Change Log
    https://wordpress.org/plugins/add-link-to-facebook/changelog/
    
    Disclosure
    09th March 2015
     
    • Like Like x 2
    Метки:

Поделиться этой страницей

Загрузка...