WordPress下载监控插件id参数SQL注入漏洞
















    发布时间:2008-04-28
    更新时间:2008-04-30
    危害级别:★★★☆☆☆
    受影响版本:
    WordPress Download Monitor 2.0.6
    描述:
    BUGTRAQ ID: 28975

    WordPress是一款免费的论坛Blog系统。

    WordPress中的下载监控插件wp-download_monitor/download.php没有正确地过滤对id参数的输入便在SQL查询中使用,这允许远程攻击者通过操控SQL查询执行SQL注入攻击。

    <* 参考:
    http://secunia.com/advisories/29876/
    *>
    建议:
    WordPress
    ———
    目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

    http://wordpress.org/extend/plugins/download-monitor/

发表评论

发表评论