wp-plugin : wp-tmkm-amazon – A3-Cross-Site Scripting (XSS)


Plugin Details


Plugin Name : wp-tmkm-amazon


Effected Version : 1.5b (and most probably lower version's if any)

Vulnerability : A3-Cross-Site Scripting (XSS)
Identified by : Anant Shrivastava



Technical Details


Minimum Level of Access Required : Unauthenticated


PoC - (Proof of Concept) :



Vulnerable Parameter : AID


Disclosure Timeline


Vendor Contacted : 2014-01-17

Plugin Status : Closed
Public Disclosure : June 12, 2014
CVE Number : CVE-2014-4598

Plugin Description :


# ECS4.0 に対応しています。
# PHP4.x 以上で動作します。ただし Keith Devens.com の PHP XML Library が必要( 同梱しています )。
# [tmkm-amazon]ASIN[/tmkm-amazon] または  という記述で動作します。
# LGPL で提供されている Lite.php および Open Source License で提供されている xml.php を同梱しています。
# 記事およびページ投稿/編集画面での Amazon 検索が可能です。

Leave a Reply

Your email address will not be published. Required fields are marked *