Descripción
Vulnerabilidad de XSS en flash/FlashMediaElement.as en MediaElement.js en versiones anteriores a 2.21.0, como se utiliza en WordPress en versiones anteriores a 4.5.2, permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrario a través de la cadena query.
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Media
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + No hay impacto en la confidencialidad del sistema + No hay impacto en la disponibilidad del sistema
Productos y versiones vulnerables
- WordPress WordPress 4.5.1
- Mediaelementjs Mediaelement.js 2.20.1
Referencias a soluciones, herramientas e información
- [oss-security] 20160507 CVE Request: wordpress and mediaelement (Origen: MLIST)
- https://codex.wordpress.org/Version_4.5.2 (Origen: CONFIRM)
- https://core.trac.wordpress.org/changeset/37371 (Origen: CONFIRM)
- https://gist.github.com/cure53/df34ea68c26441f3ae98f821ba1feb9c (Origen: MISC)
- https://github.com/johndyer/mediaelement/blob/master/changelog.md (Origen: CONFIRM)
- https://github.com/johndyer/mediaelement/commit/34834eef8ac830b9145df169ec22016a4350f06e (Origen: CONFIRM)
- https://wordpress.org/news/2016/05/wordpress-4-5-2/ (Origen: CONFIRM)
- https://wpvulndb.com/vulnerabilities/8488 (Origen: MISC)
