Custom-Content-Width 1.0 custom-content-width.php override_content_width/register_settings Cross Site Scripting
In Custom-Content-Width 1.0 wurde eine problematische Schwachstelle ausgemacht. Hierbei betrifft es die Funktion override_content_width/register_settings
der Datei custom-content-width.php. Durch Beeinflussen mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-79. Die Schwäche wurde am 06.02.2023 als e05e0104fc42ad13b57e2b2cb2d1857432624d39 öffentlich gemacht. Das Advisory findet sich auf github.com.
Die Verwundbarkeit wird als CVE-2015-10075 geführt. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1059.007 bezeichnet.
Er wird als proof-of-concept gehandelt. Unter github.com wird der Exploit zum Download angeboten. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt.
Ein Aktualisieren auf die Version 1.0.1 vermag dieses Problem zu lösen. Der Patch wird als e05e0104fc42ad13b57e2b2cb2d1857432624d39 bezeichnet. Dieser kann von github.com heruntergeladen werden. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.