WordPress CStar Design'id'参数SQL注入漏洞
WordPress CStar Design'id'参数SQL注入漏洞
发布日期:2012-11-26
更新日期:2012-11-28
受影响系统:
WordPress CStar Design
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 56694
WordPress的CStar Design插件是用户界面管理系统。
WordPress的CStar Design插件没有验证flashmoXML.php页面id参数的合法性,导致SQL注入漏洞,攻击者利用此漏洞可以未授权操作数据库,获得重要信息。
<*来源:Amirh03in
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://www.example.com/wp-content/themes/cstardesign/swf/flashmo/flashmoXML.php?id=[SQL]
建议:
--------------------------------------------------------------------------------
临时解决方法:
*暂停使用CStar Design插件
厂商补丁:
WordPress
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://wordpress.org/extend/plugins/
评论暂时关闭