漏洞信息详情
WordPress 'index.php' cat参数目录遍历漏洞
- CNNVD编号:CNNVD-200810-479
- 危害等级: 中危
- CVE编号: CVE-2008-4769
- 漏洞类型: 路径遍历
- 发布时间: 2008-04-18
- 威胁类型: 远程
- 更新时间: 2009-03-18
- 厂 商: wordpress
- 漏洞来源: Sandor Attila Gere...
漏洞简介
WordPress是一款免费的论坛Blog系统。
在WordPress的wp-includes/theme.php文件的get_category_template()函数中,没有正确地过滤对index.php所传送的cat参数便将其用在了template-loader.php文件中,攻击者通过目录遍历攻击包含本地资源的任意PHP文件。
成功利用这个漏洞要求将WordPress安装在了Windows平台上且攻击者拥有在受影响系统上存储PHP文件的权限。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://trac.wordpress.org/changeset/7586
参考网址
来源: XF
名称: wordpress-cat-directory-traversal(41920)
链接:http://xforce.iss.net/xforce/xfdb/41920
来源: BID
名称: 28845
链接:http://www.securityfocus.com/bid/28845
来源: MISC
链接:http://www.juniper.fi/security/auto/vulnerabilities/vuln28845.HTML
来源: DEBIAN
名称: DSA-1871
链接:http://www.debian.org/security/2009/dsa-1871
来源: MISC
链接:http://trac.wordpress.org/changeset/7586
来源: SECUNIA
名称: 29949
链接:http://secunia.com/advisories/29949
受影响实体
- Wordpress Wordpress:2.1.2
- Wordpress Wordpress:2.0.3
- Wordpress Wordpress:2.0.4
- Wordpress Wordpress:2.0.5
- Wordpress Wordpress:2.0.6
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论