WordPress Community Events插件多个SQL注入漏洞(CVE-2015-3313)

发布日期：2015-04-14
更新日期：2015-05-10

受影响系统：

描述：

BUGTRAQ  ID: 74234
CVE(CAN) ID: CVE-2015-3313

WordPress Community Events插件事件计划时间表插件。

WordPress Community Events 1.3.5版本的搜索功能存在sql注入漏洞，攻击者利用此漏洞可获取敏感信息。

<*来源：Hannes Trunde
  *>

测试方法：

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Hannes Trunde （）提供了如下测试方法：

http://www.site.com/?page_id=2&eventyear=2015 AND 1=0 )--&dateset=on&eventday=1

建议：

厂商补丁：

WordPress
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://wordpress.org/plugins/community-events/

参考：https://www.exploit-db.com/exploits/36805/