WordPress Google Doc Embedder插件任意文件泄露漏洞

文章由LinuxBoy分享于2019-04-02 05:04:27热评（274）

WordPress Google Doc Embedder插件任意文件泄露漏洞

发布日期：2013-01-03
更新日期：2013-01-06

受影响系统：
WordPress Google Doc Embedder 2.x
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 57133
CVE(CAN) ID: CVE-2012-4915

Google Doc Embedder插件可以将MS Office, PDF和其他文件系统嵌入到网页内。

Google Doc Embedder 2.4.6及其他版本存在任意文件泄露漏洞，wp-content/plugins/google-document-embedder/libs/pdf.php（当"fn"设置为有效值后）的"file"参数值没有被正确验证。攻击者构造恶意目录遍历序列，可获取任意文件内容。

<*来源：Charlie Eriksen

链接：http://www.securelist.com/en/advisories/50832
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

WordPress
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://wordpress.org/extend/plugins/google-document-embedder/

推荐文章：

WordPress Google Doc Embedder插件任意文件泄露漏洞