漏洞信息详情
WordPress BackWPup插件代码注入漏洞
- CNNVD编号:CNNVD-201210-079
- 危害等级: 高危
- CVE编号: CVE-2011-4342
- 漏洞类型: 代码注入
- 发布时间: 2012-10-12
- 威胁类型: 远程
- 更新时间: 2012-10-12
- 厂 商: backwpup
- 漏洞来源:
漏洞简介
WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。
WordPress中的BackWPup插件1.7.2之前版本中的wp_xml_export.php中存在PHP远程文件包含漏洞。远程攻击者可利用该漏洞通过wpabs参数中的URL,执行任意PHP代码。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://wordpress.org/extend/plugins/backwpup/
参考网址
来源: www.senseofsecurity.com.au
链接:http://www.senseofsecurity.com.au/advisories/SOS-11-003.pdf
来源: OSVDB
名称: 71481
链接:http://www.osvdb.org/71481
来源: MLIST
名称: [oss-security] 20111122 Fwd: Wordpress plugin BackWPup Remote and Local Code Execution Vulnerability - SOS-11-003
链接:http://www.openwall.com/lists/oss-security/2011/11/22/7
来源: MLIST
名称: [oss-security] 20111122 RE: Fwd: Wordpress plugin BackWPup Remote and Local Code Execution Vulnerability - SOS-11-003
链接:http://www.openwall.com/lists/oss-security/2011/11/22/10
来源: EXPLOIT-DB
名称: 17056
链接:http://www.exploit-db.com/exploits/17056
来源: wordpress.org
链接:http://wordpress.org/support/topic/plugin-backwpup-remote-and-local-codeexecution-vulnerability-sos-11-003
来源: SECUNIA
名称: 43565
链接:http://secunia.com/advisories/43565
来源: FULLDISC
名称: 20110328 Wordpress plugin BackWPup Remote and Local Code Execution Vulnerability - SOS-11-003
链接:http://seclists.org/fulldisclosure/2011/Mar/328
来源: packetstormsecurity.org
链接:http://packetstormsecurity.org/files/view/99799/SOS-11-003.txt
受影响实体
- Backwpup Backwpup:1.7.1
补丁
- backwpup.2.1.17
评论