Vigil@nce - WordPress : modification de la configuration de MailUp
mars 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer les fonctionnalités AJAX du plugin
MailUp de WordPress, afin de modifier sa configuration.
Produits concernés : WordPress
Gravité : 2/4
Date création : 14/03/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Le plugin MailUp de WordPress permet de gérer des campagnes de
marketing.
L’interface AJAX (wp-content/plugins/wp-mailup/ajax.functions.php)
de MailUp permet d’interagir avec ce plugin. Cependant, les
permissions d’accès via le cookie "wordpress_logged_in_test" ne
sont pas vérifiées.
Un attaquant peut donc employer les fonctionnalités AJAX du plugin
MailUp de WordPress, afin de modifier sa configuration.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/WordPress-modification-de-la-configuration-de-MailUp-12525