WordPress Community Events插件多个SQL注入漏洞（CVE-2015-3313）

WordPress Community Events插件多个SQL注入漏洞（CVE-2015-3313）
发布日期：2015-04-14
更新日期：2015-05-10

受影响系统：

WordPress Community Events 1.3.5

描述：

BUGTRAQ ID: 74234
CVE（CAN） ID: CVE-2015-3313

WordPress Community Events插件事件计划时间表插件。

WordPress Community Events 1.3.5版本的搜索功能存在sql注入漏洞，攻击者利用此漏洞可获取敏感信息。

<*来源：Hannes Trunde
*>

测试方法：

警告

以下程序（方法）可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！Hannes Trunde （）提供了如下测试方法：

http://www.site.com/？page_id=2&eventyear=2015 AND 1=0 ）--&dateset=on&eventday=1

建议：

厂商补丁：

WordPress
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://wordpress.org/plugins/community-events/

参考：https://www.exploit-db.com/exploits/36805/