WordPress User Photo ‘user-photo.php’任意文件上传漏洞

漏洞名称: WordPress User Photo ‘user-photo.php’任意文件上传漏洞
CNNVD编号: CNNVD-201303-530
发布时间: 2013-03-27
更新时间: 2013-03-27
危害等级:  
漏洞类型: 输入验证
威胁类型: 远程
CVE编号:  
漏洞来源: ADVtools

WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。
        WordPress User Photo插件0.9.4和之前版本中的user-photo.php中存在任意文件上传漏洞,该漏洞源于应用程序没有充分验证用户提供的输入。攻击者利 用该漏洞在web服务器进程上下文中上传并运行任意代码,有助于未授权访问或权限提升,也可能存在其他攻击。

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
        http://wordpress.org/extend/plugins/user-photo/

来源: BID
名称: 46430
链接:http://www.securityfocus.com/bid/46430

posted @ 2013-03-27 18:45  夏虫xm  阅读(166)  评论(0编辑  收藏  举报