WordPress MailUp插件权限许可和访问控制漏洞

漏洞名称: WordPress MailUp插件权限许可和访问控制漏洞
CNNVD编号: CNNVD-201303-471
发布时间: 2013-03-25
更新时间: 2013-03-25
危害等级: 中危  中危
漏洞类型: 权限许可和访问控制
威胁类型: 远程
CVE编号: CVE-2013-2640

WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。
        WordPress中的MailUp插件1.3.2之前版本中的ajax.functions.php脚本中存在漏洞,该漏洞源 于程序没有正确限制访问未指定的Ajax函数。通过与‘formData=save’请求相关的未明向量,远程攻击者利用该漏洞修改插件设置进而进行跨站 脚本攻击。

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
        http://wordpress.org/extend/plugins/wp-mailup/changelog/

来源: plugins.trac.wordpress.org
链接:http://plugins.trac.wordpress.org/changeset?new=682420


来源: wordpress.org
链接:http://wordpress.org/extend/plugins/wp-mailup/changelog/


来源: SECUNIA
名称: 51917
链接:http://secunia.com/advisories/51917 

posted @ 2013-03-25 17:33  夏虫xm  阅读(149)  评论(0编辑  收藏  举报