พบช่องโหว่ Cross-Site Scripting บน WordPress Plugin : Pootle button

เราได้รับรายงานแจ้งเตือนช่องโหว่ด้านความปลอดภัยของ Pootle button Plugin ช่องโหว่นี้เกิดจากการตรวจสอบความถูกต้องของอินพุตที่ผู้ใช้ให้ข้อมูลไม่ถูกต้องโดยสคริปต์ Script ที่ชื่อว่า admin-ajax.php โดยผ่าน parameter ‘ assets_url ‘ ซึ่ง Hacker จะใช้ช่องโหว่นี้เพื่อใช้ขโมยค่า Cookie สำหรับใช้ Authentication ได้

 

ช่องโหว่ที่ตรวจพบ :
Cross-Site Scripting

ผลิตภัณฑ์ที่เกี่ยวข้อง :
Pootlepress Pootle button plugin for WordPress 1.1.1

แนวทางแก้ไข :
ไม่มีพบแนวทางการแก้ไข ตรวจสอบเมื่อวันที่ 12/10/2017