Adminofsystem WP Related Posts 1.0 wp-relatedposts.php wp_relatedposts_type Cross Site Request Forgery
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.3 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle, die als problematisch eingestuft wurde, wurde in Adminofsystem WP Related Posts 1.0 gefunden. Dies betrifft einen unbekannten Teil der Datei wp-relatedposts.php. Mit der Manipulation des Arguments wp_relatedposts_type mit unbekannten Daten kann eine Cross Site Request Forgery-Schwachstelle ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2011-0760 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Es gibt keinen verfügbaren Exploit.
Details
In Adminofsystem WP Related Posts 1.0 (WordPress Plugin) wurde eine problematische Schwachstelle entdeckt. Dabei geht es um ein unbekannter Codeteil der Datei wp-relatedposts.php. Mittels Manipulieren des Arguments wp_relatedposts_type mit einer unbekannten Eingabe kann eine Cross Site Request Forgery-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-352. Dies hat Einfluss auf die Integrität. Die Zusammenfassung von CVE lautet:
Multiple cross-site request forgery (CSRF) vulnerabilities in the configuration screen in wp-relatedposts.php in the WP Related Posts plugin 1.0 for WordPress allow remote attackers to hijack the authentication of administrators for requests that insert cross-site scripting (XSS) sequences via the (1) wp_relatedposts_title, (2) wp_relatedposts_num, or (3) wp_relatedposts_type parameter.Die Schwachstelle wurde am 28.03.2011 durch Rodrigo Rubira Branco (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter archives.neohapsis.com. Die Verwundbarkeit wird seit dem 03.02.2011 als CVE-2011-0760 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Durch die Suche von inurl:wp-relatedposts.php können potentiell verwundbare Systeme gefunden werden.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (66168), SecurityFocus (BID 46908†), Secunia (SA43777†) und Vulnerability Center (SBV-40783†) dokumentiert. Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Produkt
Typ
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.3VulDB Meta Temp Score: 4.3
VulDB Base Score: 4.3
VulDB Temp Score: 4.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site Request ForgeryCWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
03.02.2011 🔍17.03.2011 🔍
17.03.2011 🔍
18.03.2011 🔍
28.03.2011 🔍
28.03.2011 🔍
31.07.2013 🔍
20.03.2015 🔍
07.05.2017 🔍
Quellen
Advisory: archives.neohapsis.comPerson: Rodrigo Rubira Branco
Status: Nicht definiert
CVE: CVE-2011-0760 (🔍)
GCVE (CVE): GCVE-0-2011-0760
GCVE (VulDB): GCVE-100-56953
X-Force: 66168
SecurityFocus: 46908 - WordPress Related Posts Plugin Multiple Cross Site Scripting Vulnerabilities
Secunia: 43777 - WordPress WP Related Posts Plugin Cross-Site Request Forgery Vulnerability, Less Critical
Vulnerability Center: 40783 - WP Related Posts Plugin for WordPress Remote CSRF via the wp_relatedposts_title, wp_relatedposts_num or wp_relatedposts_type Parameters, Medium
Eintrag
Erstellt: 20.03.2015 16:16Aktualisierung: 07.05.2017 11:30
Anpassungen: 20.03.2015 16:16 (57), 07.05.2017 11:30 (7)
Komplett: 🔍
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.