漏洞信息详情

WordPress Gallery Objects插件‘admin-ajax.php’SQL注入漏洞

• CNNVD编号：CNNVD-201407-541
• 危害等级： 高危
  
• CVE编号： CVE-2014-5201
• 漏洞类型： SQL注入
• 发布时间： 2014-07-23
• 威胁类型： 远程
• 更新时间： 2014-08-13
• 厂        商： gallery_objects_project
• 漏洞来源： Claudio Viviani

漏洞简介

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站。Gallery Objects是其中的一个可定制的相册插件。

WordPress Gallery Objects插件0.4版本中存在SQL注入漏洞，该漏洞源于程序执行go_view_object操作时，wp-admin/admin-ajax.php脚本没有充分过滤‘viewid’参数。远程攻击者可利用该漏洞执行任意SQL命令。

漏洞公告

据厂商提供的信息，该插件已停止更新，相关信息请随时关注厂商主页：

http://wordpress.org/plugins/gallery-objects/

参考网址

来源:packetstormsecurity.com

链接:http://packetstormsecurity.com/files/127533/WordPress-Gallery-Objects-0.4-SQL-Injection.HTML

来源:www.homelab.it

链接:http://www.homelab.it/index.php/2014/07/18/wordpress-gallery-objects-0-4-sql-injection/#sthash.ftMVwBVK.dpbs

来源: BID

链接:http://www.securityfocus.com/bid/68791

受影响实体

• Gallery_objects_project Gallery_objects:0.4:-:~-~-~Wordpress~~  

补丁

暂无