Easy Table Plugin 1.6 auf WordPress options-general.php Cross Site Scripting
Es wurde eine Schwachstelle in Easy Table Plugin 1.6 für WordPress entdeckt. Sie wurde als problematisch eingestuft. Betroffen hiervon ist ein unbekannter Ablauf der Datei /wordpress/wp-admin/options-general.php. Dank der Manipulation mit der Eingabe "><script>alert(1)</script>
mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-80 vorgenommen. Das Problem wurde am 11.02.2017 von Manuel Garcia Cardenas als WordPress Plugin Easy Table 1.6 - Persistent Cross-Site Scripting mittels Mailinglist Post (Full-Disclosure) publiziert. Das Advisory findet sich auf seclists.org.
Die Identifikation der Schwachstelle wird mit CVE-2017-20108 vorgenommen. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details verfügbar. Es ist soweit kein Exploit verfügbar. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1059.007 bezeichnet.
Er wird als nicht definiert gehandelt. Vor einer Veröffentlichung handelte es sich 4 Tage um eine Zero-Day Schwachstelle. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt.
Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.