Vigil@nce - WordPress : Cross Site Scripting dbem_rsvp.php
septembre 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer une attaque de type Cross Site
Scripting dans le script dbem_rsvp.php du plugin Events Manager de
WordPress.
Gravité : 2/4
Date création : 09/09/2010
DESCRIPTION DE LA VULNÉRABILITÉ
La suite WordPress assure la gestion de contenus web, comme les
blogs. Le plugin Events Manager gère des réservations.
Le script dbem_rsvp.php permet de réserver des places pour des
évènements. Cependant, ce script ne filtre pas ses paramètres
"bookerName", "bookerEmail", "bookerPhone" et "bookerComment".
Un attaquant peut donc provoquer une attaque de type Cross Site
Scripting.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/WordPress-Cross-Site-Scripting-dbem-rsvp-php-9910