漏洞信息详情

WordPress 内容欺骗漏洞

• CNNVD编号：CNNVD-201307-088
• 危害等级： 低危
  
• CVE编号： CVE-2013-2204
• 漏洞类型： 输入验证
• 发布时间： 2013-06-21
• 威胁类型： 远程
• 更新时间： 2013-07-19
• 厂        商： wordpress
• 漏洞来源： Wan Ikram

漏洞简介

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。

WordPress 3.5.1之前的版本和其他产品中的TinyMCE Media插件中使用的Moxiecode moxieplayer中的moxieplayer.as中存在漏洞，该漏洞源于程序在解析QUERY_STRING内容的过程中没有将 ‘＃’（井号）字符之后的内容忽略，导致远程攻击者可通过在‘？’字符之后构造特制的URL利用该漏洞传送任意参数到Flash应用程序，实施内容欺骗攻击。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://wordpress.org/news/2013/06/wordpress-3-5-2/

参考网址

来源: github.com

链接:https://github.com/moxiecode/moxieplayer/commit/b61ac518ffa2657e2dc9019b2dcf2f3f37dbfab0

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=976784

来源: wordpress.org

链接:http://wordpress.org/news/2013/06/wordpress-3-5-2/

来源: codex.wordpress.org

链接:http://codex.wordpress.org/Version_3.5.2

来源: BID

名称: 60781

链接:http://www.securityfocus.com/bid/60781

受影响实体

• Wordpress Wordpress:2.0  
• Wordpress Wordpress:2.2.2  
• Wordpress Wordpress:2.6.1  
• Wordpress Wordpress:2.6  
• Wordpress Wordpress:3.4.2  

补丁

暂无