WordPress All Video Gallery 插件'vid'参数多个SQL注入漏洞
WordPress All Video Gallery 插件'vid'参数多个SQL注入漏洞
发布日期:2012-11-02
更新日期:2012-11-06
受影响系统:
WordPress All Video Gallery Plugin 1.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 56380
WordPress是一种使用PHP语言和MySQL数据库开发的Blog(博客、网志)引擎,用户可以在支持PHP和MySQL数据库的服务器上建立自己的Blog。
All Video Gallery 1.1.0之前版本存在多个SQL注入漏洞,通过"vid"参数发送到wp-content/plugins/all-video-gallery/playlist.php和wp-content/plugins/all-video-gallery/xml/playlist.php的输入没有正确过滤即用在SQL查询中。攻击者可利用这些漏洞控制应用、访问或修改数据、利用下层数据内的其他漏洞。
<*来源:Charlie Eriksen
链接:http://secunia.com/advisories/50874/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
WordPress
---------
请更新到2012年11月1日后发布的1.1版本。
http://wordpress.org/
评论暂时关闭