Уязвимости в WordPress IWantOneButton Plugin

WordPress IWantOneButton Plugin 3.0.1, возможно более ранние версии

Опасность: Средняя

Наличие эксплоита: Нет

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре «post_id» в сценарии wp-content/plugins/wantHave/updateAJAX.php, когда параметр «add» равен «want» или «have». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки входных данных в параметре «post_id» в сценарии wp-content/plugins/wantHave/updateAJAX.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

URL производителя: wordpress.org/extend/plugins/iwant-one-ihave-one/

Решение: Способов устранения уязвимости не существует в настоящее время.

Источник: securitylab.ru