Bugtraq

HTB22961: XSS in WP Photo Album wordpress plugin

Publié le 28-04-2011 17:04 sur la mailing-list Bugtraq

Pub : Tous les antivirus en ligne pour désinfecter votre ordinateur

Vulnerability ID: HTB22961
Reference: http://www.htbridge.ch/advisory/xss_in_wp_photo_album_wordpress_plugin.html
Product: WP Photo Album wordpress plugin
Vendor: Rubin J. Kaplan ( http://me.mywebsight.ws/ )
Vulnerable Version: 1.5.1
Vendor Notification: 14 April 2011
Vulnerability Type: XSS (Cross Site Scripting)
Risk level: Medium
Credit: High-Tech Bridge SA Security Research Lab ( http://www.htbridge.ch/advisory/ )

Vulnerability Details:
User can execute arbitrary JavaScript code within the vulnerable application.
The vulnerability exists due to failure in the "wppa.php" script to properly sanitize user-supplied input in "id" variable.
Successful exploitation of this vulnerability could result in a compromise of the application, theft of cookie-based authentication credentials, disclosure or modification of sensitive data.

The following PoC is available:

http://[host]/wp-admin/admin.php?page=wp-photo-album/wppa.php&tab=del&id=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E

Derniers contenus

L'espace d'authentification de Numéricâble dangereux

23-05-2013 à 14:53 - 0 commentaire(s)

Client de Numéricâble, prudence. L'espace d'authentification peut être piégé par un pirate informatique.

Fuite de données : la justice accuse les admins

23-05-2013 à 14:26 - 0 commentaire(s)

Si un administrateur d'un système informatique ne protège pas ses données, le "découvreur" ne risque plus d'être poursuivi pour piratage.

Skimmeur dans le Tarn

23-05-2013 à 12:30 - 0 commentaire(s)

Plusieurs dizaines de comptes bancaires piratés dans le Tarn. Un skimmeur a encore frappé.

Double authentification Twitter... ou pas

23-05-2013 à 09:39 - 0 commentaire(s)

Twitter annonce une sécurité renforcée via une double authentification. Et les autres failles ?

Danger via MySpace et DailyMotion

21-05-2013 à 09:47 - 0 commentaire(s)

Potentialités malveillantes à partir des sites communautaires MySpace et DailyMotion.

Un espace web Nestlé dangereux

21-05-2013 à 09:37 - 0 commentaire(s)

Un espace Nestlé, dédié aux bébés, propose des potentialités malveillantes aux pirates

Le site de George W. Bush dangereux

21-05-2013 à 08:28 - 0 commentaire(s)

Une faille sur le site Internet de l'ancien président américain, George W. Bush, permet de piéger les internautes.

Cyber attaque à coups de PDF malveillants

21-05-2013 à 08:19 - 0 commentaire(s)

Une cyber-attaque principalement orientée vers le Pakistan à travers de faux documents PDF attachés.

Syndication RSS

ZATAZ mobile et PDA

PDA
Imode

A PROPOS CONTACT ZATAZWeb.tv
www.antivirus-enligne.com www.antispyware-gratuits.com www.firewall-gratuit.com
datasecuritybreach.fr www.antispam-gratuits.com www.antiphishing-gratuit.com www.virus-alerte.com

Tout usage des informations diffusées par ZATAZ.COM est soumi à autorisation préalable et express. La violation de ces dispositions impératives soumet le contrevenant,
et toutes personnes responsables, aux peines pénales et civiles prévues par la loi française.

Copyright ZATAZ 1997 - 2013