WordPress 存在字段名称HTML代码注入漏洞

上一篇 / 下一篇  2007-11-01 11:34:00 / 个人分类:安全与网管

查看( 17 ) / 评论( 0 ) / 评分( 0 / 0 )

发布日期:2007-09-11

更新日期:2007-09-13

受影响系统:

WordPress WordPress 2.2.2

不受影响系统:

WordPress WordPress 2.2.3

描述:

--------------------------------------------------------------------------------

BUGTRAQ ID: 25639

WordPress是一款免费的论坛Blog系统。

WordPress在过滤用户数据时存在漏洞,远程攻击者可能利用此漏洞执行跨站脚本攻击。

远程攻击者可以通过添加名为no_filter的字段绕过unfiltered_html权限功能,这允许没有unfiltered_html权限的用户通过提交特制的POST请求在博客中注入任意HTML和脚本代码。

<*来源:xknown

链接:http://secunia.com/advisories/26771/

http://trac.wordpress.org/ticket/4720

*>

建议:

--------------------------------------------------------------------------------

厂商补丁:

WordPress

---------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://wordpress.org/latest.tar.gz


导入论坛 引用链接 收藏 分享给好友 推荐到圈子 管理 举报

TAG:

 

评分:0

我来说两句

显示全部

:loveliness: :handshake :victory: :funk: :time: :kiss: :call: :hug: :lol :'( :Q :L ;P :$ :P :o :@ :D :( :)

日历

« 2008-07-31  
  12345
6789101112
13141516171819
20212223242526
2728293031  

数据统计

  • 访问量: 2650
  • 日志数: 102
  • 建立时间: 2007-07-10
  • 更新时间: 2008-07-16

RSS订阅

Open Toolbar