漏洞信息详情

WordPress BackWPup插件多个路径遍历漏洞

• CNNVD编号：CNNVD-201210-083
• 危害等级： 中危
  
• CVE编号： CVE-2011-5208
• 漏洞类型： 路径遍历
• 发布时间： 2012-10-12
• 威胁类型： 远程
• 更新时间： 2012-10-12
• 厂        商： backwpup
• 漏洞来源：

漏洞简介

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。

WordPress中的BackWPup插件1.4.1之前版本中存在多个目录遍历漏洞。远程攻击者可利用这些漏洞通过wpabs参数传送到(1)app/options-view_log-iframe.php或(2)app/options-runnow-iframe.php脚本中的..（点点），读取任意文件。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://wordpress.org/extend/plugins/backwpup/changelog/

参考网址

来源: OSVDB

名称: 71243

链接:http://www.osvdb.org/71243

来源: OSVDB

名称: 71242

链接:http://www.osvdb.org/71242

来源: wordpress.org

链接:http://wordpress.org/extend/plugins/backwpup/changelog/

来源: SECUNIA

名称: 43565

链接:http://secunia.com/advisories/43565

来源: FULLDISC

名称: 20110228 BackWPup Wordpress plugin <= 1.4.0 File content disclosure

链接:http://archives.neohapsis.com/archives/fulldisclosure/2011-02/0663.HTML

受影响实体

• Backwpup Backwpup:1.4.0  

补丁

• backwpup.2.1.17