|
|
|||||||||||||||||
| 漏洞名称: | WordPress MailUp插件权限许可和访问控制漏洞 |
| CNNVD编号: | CNNVD-201303-471 |
| 发布时间: | 2013-03-25 |
| 更新时间: | 2013-03-25 |
| 危害等级: | 中危  |
| 漏洞类型: | 权限许可和访问控制 |
| 威胁类型: | 远程 |
| CVE编号: | CVE-2013-2640 |
WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。
WordPress中的MailUp插件1.3.2之前版本中的ajax.functions.php脚本中存在漏洞,该漏洞源
于程序没有正确限制访问未指定的Ajax函数。通过与‘formData=save’请求相关的未明向量,远程攻击者利用该漏洞修改插件设置进而进行跨站
脚本攻击。
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://wordpress.org/extend/plugins/wp-mailup/changelog/
|
来源: plugins.trac.wordpress.org
|