NVD

Id
38297  
Name
CVE-2013-2204  
Description
moxieplayer.as in Moxiecode moxieplayer, as used in the TinyMCE Media plugin in WordPress before 3.5.2 and other products, does not consider the presence of a # (pound sign) character during extraction of the QUERY_STRING, which allows remote attackers to pass arbitrary parameters to a Flash application, and conduct content-spoofing attacks, via a crafted string after a ? (question mark) character.  
Reject
 
CVSS Version
2  
CVSS Score
4.3  
Severity
Medium  
CVSS Base Score
4.3  
CVSS Impact Subscore
2.9  
CVSS Exploit Subscore
8.6  
CVSS Vector
(AV:N/AC:M/Au:N/C:N/I:P/A:N)  
Pub Date
2017-01-18  
Published
2013-07-08  
Modified Date
2013-08-13  
Seq
2013-2204  

Actions

Related NVD References

Id NVD Id NVD No. Reference Actions
195845 38297 CVE-2013-2204 http://codex.wordpress.org/Version_3.5.2  View
195846 38297 CVE-2013-2204 http://wordpress.org/news/2013/06/wordpress-3-5-2/  View
195847 38297 CVE-2013-2204 DSA-2718  View
195848 38297 CVE-2013-2204 https://bugzilla.redhat.com/show_bug.cgi?id=976784  View
195849 38297 CVE-2013-2204 https://github.com/moxiecode/moxieplayer/commit/b61ac518ffa2657e2dc9019b2dcf2f3f37dbfab0  View

Related JVN

Id Name Title Summary Cveinfo Name Cveinfo Id Nvdinfo Name Nvdinfo Id Cvssv2 Cvssv3 Jvnurl Published Date Last Updated Date Actions
21669 JVNDB-2013-003244 WordPress の TinyMCE Media プラグインで使用される Moxiecode moxieplayer における Flash アプリケーションに任意のパラメータを渡される脆弱性 WordPress およびその他の製品の TinyMCE Media プラグインで使用される Moxiecode moxieplayer の moxieplayer.as は、QUERY_STRING の抽出中に ♯ (シャープ記号) 文字の存在を考慮しないため、Flash アプリケーションに任意のパラメータを渡される、およびコンテンツスプーフィング攻撃 (content-spoofing attack) を実行される脆弱性が存在します。 CVE-2013-2204 62146 CVE-2013-2204 38297 4.3 http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-003244.html 2013-06-21 2013-08-19 View