WordPress下载监控插件id参数SQL注入漏洞 |
| 更新时间:2008-5-9 0:43:56 |
责任编辑:果果龙 |
|
|
WordPress是一款免费的论坛Blog系统。WordPress中的下载监控插件wp-download_monitor/download.php没有正确地过滤对id参数的输入便在SQL查询中使用,这允许远程攻击者通过操控SQL查询执行SQL注入攻击。
发布日期:2008-04-28
更新日期:2008-04-30
受影响系统:
WordPress Download Monitor 2.0.6
描述:
----------------------------------------------------------------------------
BUGTRAQ ID: 28975
WordPress是一款免费的论坛Blog系统。
WordPress中的下载监控插件wp-download_monitor/download.php没有正确地过滤对id参数的输入便在SQL查询中使用,这允许远程攻击者通过操控SQL查询执行SQL注入攻击。
<*来源:Dino Covotsos
Charlton Smith
链接:http://secunia.com/advisories/29876/
*>
建议:
----------------------------------------------------------------------------
厂商补丁:
WordPress
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://wordpress.org/extend/plugins/download-monitor/
| | | |
|
安全中国首页 > 新闻中心 > 网站程序漏洞