WordPress Slideshow插件多个脚本插入漏洞

发布日期：2012-10-30
更新日期：2012-11-01受影响系统：
WordPress Slideshow Plugin 2.x
描述：
--------------------------------------------------------------------------------
WordPress是一种使用PHP语言和MySQL数据库开发的Blog（博客、网志）引擎，用户可以在支持PHP和MySQL数据库的服务器上建立自己的Blog。WordPress的Slideshow插件2.1.14版本及其他版本在实现上存在多个漏洞，可被恶意用户利用执行脚本插入攻击。1）通过"slides"数组的"videoId"、"url"、"title"、"description"值传递到views/SlideshowPlugin/slideshow.php的输入没有正确过滤即被使用，可被利用插入和执行任意HTML和脚本代码。2） Input 通过"data"数组的"slideSpeed"、"descriptionSpeed"、"intervalSpeed"、"slidesPerView"、"width"、"height"、 "descriptionHeight"值传递到classes/SlideshowPluginPostType.php的输入没有正确过滤即被使用，可被利用插入和执行任意HTML和脚本代码。<*来源：SVN

链接：http://secunia.com/advisories/51135/
*>建议：
--------------------------------------------------------------------------------
厂商补丁：WordPress
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://plugins.trac.wordpress.org/browser/slideshow-jquery-image-gallery/trunkSAP NetWeaver Process Integration XML外部实体漏洞Video Community Portal "userID"参数SQL注入漏洞相关资讯 WordPress WordPress安全漏洞

大批 WordPress 网站被渗透，成为（02月26日）
WordPress 在Ubuntu下安装插件、主（01月08日）
深入浅出讲述提升 WordPress 性能（12/22/2015 07:49:45）

Ubuntu 14.04基于Nginx安装（01月25日）
解决Ubuntu下WordPress设置固定链（01月08日）
WordPress.com 开源，发布桌面端应（11/24/2015 15:54:59）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论