漏洞信息详情

wordpress REQUEST全局数组跨站请求伪造漏洞

• CNNVD编号：CNNVD-200811-273
• 危害等级： 低危
  
• CVE编号： CVE-2008-5113
• 漏洞类型： 跨站请求伪造
• 发布时间： 2008-11-17
• 威胁类型： 远程
• 更新时间： 2008-12-02
• 厂        商： wordpress
• 漏洞来源：

漏洞简介

WordPress是一个基于PHP和Mysql的开源的博客发布应用程序。

WordPress 在某些危险情况下依赖REQUEST超全局的数组，这使得远程攻击者更易于借助特制的cookies，执行延迟的和连续的跨站请求伪造攻击。比如借助攻击来(1)删除用户帐户或(2)引起拒绝服务攻击(应用程序访问丢失)。

漏洞公告

目前厂商还没有提供补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://wordpress.com/

参考网址

来源: DEBIAN

名称: DSA-1871

链接:http://www.debian.org/security/2009/dsa-1871

来源: MLIST

名称: [oss-security] 20081113 CVE request: wordpress can be subject of delayed attacks via cookies

链接:http://openwall.com/lists/oss-security/2008/11/14/1

来源:bugs.debian.org

链接:http://bugs.debian.org/504771

受影响实体

• Wordpress Wordpress:2.6.3  

补丁

暂无