漏洞信息详情

WordPress Traffic Analyzer插件‘aoid’参数跨站脚本漏洞

• CNNVD编号：CNNVD-201304-156
• 危害等级： 中危
  
• CVE编号： CVE-2013-3526
• 漏洞类型： 跨站脚本
• 发布时间： 2013-04-12
• 威胁类型： 远程
• 更新时间： 2013-04-12
• 厂        商： wptrafficanalyzer
• 漏洞来源： Beni_Vanda

漏洞简介

WordPress Traffic Analyzer插件是站点流量分析工具。

WordPress的Traffic Analyzer插件中的aoid参数中存在跨站脚本漏洞，该漏洞源于程序没有正确过滤用户提供的输入。当用户浏览被影响的网站时，其浏览器将执行攻击者的任意代码，这可能导致攻击者窃取基于cookie的身份认证并发起其它攻击。

漏洞公告

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://wordpress.org/extend/plugins/trafficanalyzer/

参考网址

来源: XF

名称: wp-trafficanalyzer-taloaded-xss(83311)

链接:http://xforce.iss.net/xforce/xfdb/83311

来源: BID

名称: 58948

链接:http://www.securityfocus.com/bid/58948

来源: SECUNIA

名称: 52929

链接:http://secunia.com/advisories/52929

来源: packetstormsecurity.com

链接:http://packetstormsecurity.com/files/121167/WordPress-Traffic-Analyzer-Cross-Site-Scripting.HTML

来源: OSVDB

名称: 92197

链接:http://osvdb.org/92197

受影响实体

• Wptrafficanalyzer Trafficanalyzer:1.0.0  
• Wptrafficanalyzer Trafficanalyzer:1.1.0  
• Wptrafficanalyzer Trafficanalyzer:1.1.1  
• Wptrafficanalyzer Trafficanalyzer:1.1.2  
• Wptrafficanalyzer Trafficanalyzer:1.1.3  

补丁

暂无