WordPress Participants Database插件SQL注入和访问绕过漏洞
发布日期:2014-06-02
更新日期:2014-06-07
受影响系统:
WordPress Participants Database <= 1.5.4.8
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 67769
CVE(CAN) ID: CVE-2014-3961
Participants Database插件是流行的Wordpress插件,可以构建和维持参与者数据库。
Participants Database 1.5.4.8及其他版本的Export CSV页面存在SQL注入漏洞,远程攻击者通过"output CSV"操作的query参数向pdb-signup/赋值,即可利用此漏洞执行任意SQL命令。
<*来源:Yarubo Research Team
链接:http://www.exploit-db.com/exploits/33613/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
WordPress
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://wordpress.org/plugins/participants-database/changelog