漏洞信息详情
WordPress Twitget插件跨站请求伪造漏洞
- CNNVD编号:CNNVD-201406-541
- 危害等级: 中危
- CVE编号: CVE-2014-2559
- 漏洞类型: 跨站请求伪造
- 发布时间: 2014-04-08
- 威胁类型: 远程
- 更新时间: 2014-10-21
- 厂 商: twitget_project
- 漏洞来源: dxw Security
漏洞简介
WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。Twitget是其中的一个用于显示Twitter上最近消息的插件。
WordPress Twitget插件3.3.3之前版本的twitget.php脚本中存在跨站请求伪造漏洞。远程攻击者可通过向wp-admin/options-general.php脚本发送请求利用该漏洞更改插件选项。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://wordpress.org/plugins/twitget/changelog/
参考网址
来源:XF
链接:http://xforce.iss.net/xforce/xfdb/92391
来源:packetstormsecurity.com
链接:http://packetstormsecurity.com/files/126134
来源:wordpress.org
链接:http://wordpress.org/plugins/twitget/changelog
来源:security.dxw.com
链接:https://security.dxw.com/advisories/csrfxss-vulnerability-in-twitget-3-3-1
来源:FULLDISC
链接:http://seclists.org/fulldisclosure/2014/Apr/172
来源:SECUNIA
链接:http://secunia.com/advisories/57892
来源: BID
链接:http://www.securityfocus.com/bid/66793
受影响实体
- Twitget_project Twitget:3.3.1:~~~Wordpress~~
补丁
- twitget.3.3.3
评论