漏洞信息详情

WordPress WP-Syntax 'test/index.php'远程PHP代码执行漏洞

• CNNVD编号：CNNVD-200908-219
• 危害等级： 高危
  
• CVE编号： CVE-2009-2852
• 漏洞类型： 输入验证
• 发布时间： 2009-08-18
• 威胁类型： 远程
• 更新时间： 2009-08-21
• 厂        商： ryan.mcgeary
• 漏洞来源： Inj3ct0r

漏洞简介

当register_globals被激活时，Wordpress WP-Syntax plugin 0.9.1以及之前的版本允许远程攻击者借助到test/index.php的test_filter[wp_head]数组参数，执行任意的PHP代码。该数组参数用于对call_user_func_array函数的请求中。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接： WordPress 2.8.4 Security Release解决了此漏洞。 http://wordpress.org/development/2009/08/2-8-4-security-release/

参考网址

来源: XF 名称: wpsyntax-index-code-execution(52457) 链接:http://xforce.iss.net/xforce/xfdb/52457 来源: VUPEN 名称: ADV-2009-2456 链接:http://www.vupen.com/english/advisories/2009/2456 来源: BID 名称: 36040 链接:http://www.securityfocus.com/bid/36040 来源: MILW0RM 名称: 9431 链接:http://www.milw0rm.com/exploits/9431

受影响实体

• Ryan.Mcgeary Wp-Syntax:0.9.1  

补丁

暂无