WordPress WP-Filebase Download Manager插件任意代码执行漏洞
发布日期:2014-03-20
更新日期:2014-03-21
受影响系统:
WordPress WP-Filebase Download Manager 0.3.0.03
描述:
--------------------------------------------------------------------------------
WP-Filebase Download Manager是适用于WordPress的高级文件下载管理器。
WP-Filebase Download Manager 0.3.0.03及其他版本上传文件时没有正确过滤filename内的输入,即将其用于调用classes/Admin.php内的"exec()",这可被攻击者利用,通过特制的HTTP POST请求,利用此漏洞注入和执行任意shell命令。成功利用此漏洞需要具有上传文件的访问权限。
<*来源:vendor
链接:http://secunia.com/advisories/57456/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
WordPress
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://wordpress.org/plugins/wp-filebase/
http://wordpress.org/plugins/wp-filebase/changelog/