漏洞信息详情

WordPress OptimizePress主题‘media-upload.php’任意文件上传漏洞

• CNNVD编号：CNNVD-201312-216
• 危害等级： 中危
  
• CVE编号： CVE-2013-7102
• 漏洞类型： 输入验证
• 发布时间： 2013-11-21
• 威胁类型： 远程
• 更新时间： 2013-12-26
• 厂        商： optimizepress
• 漏洞来源： Eagle Eye

漏洞简介

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站。OptimizePress Theme是其中的一个网络营销主题。

WordPress的OptimizePress主题1.60及之前的版本中的lib/admin/media-upload.php，lib/admin/media-upload-lncthumb.php，lib/admin/media-upload-sq_button.php文件中存在未限制文件上传漏洞。远程攻击者可通过利用该漏洞上传可执行扩展文件，通过访问wp-content/uploads/optpress/images_comingsoon目录，wp-content/uploads/optpress/images_lncthumbs目录，或wp-content/uploads/optpress/images_optbuttons目录中的文件执行任意代码。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.optimizepress.com/

参考网址

来源: www.osirt.com

链接:http://www.osirt.com/2013/11/wordpress-optimizepress-hack-file-upload-vulnerability/

来源: FULLDISC

名称: 20131215 Re: WordPress OptimizePress Theme - File Upload Vulnerability

链接:http://seclists.org/fulldisclosure/2013/Dec/127

来源: help.optimizepress.com

链接:http://help.optimizepress.com/customer/portal/articles/1381790-important-optimizepress-1-0-security-update

来源: blog.sucuri.net

链接:http://blog.sucuri.net/2013/12/wordpress-optimizepress-theme-file-upload-vulnerability.HTML

来源:SECUNIA

名称:55957

链接:http://secunia.com/advisories/55957

来源: BID

名称: 64044

链接:http://www.securityfocus.com/bid/64044

受影响实体

• Optimizepress Optimizepress:1.60:-:~-~-~Wordpress~~  

补丁

暂无