WordPress Participants Database插件SQL注入和访问绕过漏洞

发布日期:2014-06-02
更新日期:2014-06-07

受影响系统:
WordPress Participants Database <= 1.5.4.8
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 67769
 CVE(CAN) ID: CVE-2014-3961
 
Participants Database插件是流行的Wordpress插件,可以构建和维持参与者数据库。

Participants Database 1.5.4.8及其他版本的Export CSV页面存在SQL注入漏洞,远程攻击者通过"output CSV"操作的query参数向pdb-signup/赋值,即可利用此漏洞执行任意SQL命令。
 
<*来源:Yarubo Research Team
 
  链接:http://www.exploit-db.com/exploits/33613/
 *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
WordPress
 ---------
 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 
https://wordpress.org/plugins/participants-database/changelog

相关推荐