WordPress post-views插件“search_input”跨站脚本执行漏洞


发布日期:2012-11-15
更新日期:2012-11-18

受影响系统:
WordPress post-views Plugin 2.x
描述:
--------------------------------------------------------------------------------
WordPress是一种使用PHP语言和MySQL数据库开发的Blog(博客、网志)引擎,用户可以在支持PHP和MySQL数据库的服务器上建立自己的Blog。

WordPress 2.6.1及其他版本的post-views插件存在安全漏洞,通过"search_input" GET参数发送到wp-admin/index.php (当"page"设置为"post-views") 的输入没有正确在wp-content/plugins/post-views/post-views.php内过滤即返回给用户,可被利用执行跨站脚本攻击。

<*来源:Charlie Eriksen
 
  链接:http://secunia.com/advisories/50982/
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

WordPress
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://wordpress.org/

相关内容