05 2013 档案
摘要:漏洞名称:WordPress GRAND FlAGallery插件“s”跨站脚本漏洞CNNVD编号:CNNVD-201305-603发布时间:2013-05-29更新时间:2013-05-29危害等级:中危漏洞类型:跨站脚本威胁类型:远程CVE编号:CVE-2013-3261GRAND FlAGallery是WordPress软件基金会的一款集图片库、视频库和音乐专辑于一体的媒体插件。WordPress的GRAND FlAGallery插件中存在跨站脚本漏洞,该漏洞源于通过‘s’GET参数传送到wp-admin/admin.php (当‘page’设置为‘flag-manage-gallery
阅读全文
摘要:漏洞名称:WordPress Export To Text插件‘download’参数远程文件包含漏洞CNNVD编号:CNNVD-201305-601发布时间:2013-05-29更新时间:2013-05-29危害等级:漏洞类型:威胁类型:远程CVE编号:漏洞来源:Charlie Eriksen via SecuniaExport To Text是WordPress软件基金会的一个导出插件,将数据传送到制表符分隔的文本文件格式(TSV)中。WordPress的Export To Text插件中存在远程文件包含漏洞,该漏洞源于程序没有充分过滤用户提交的输入。攻击者可利用该漏洞控制应用程序和底层系
阅读全文
摘要:漏洞名称:WordPress User Role Editor插件跨站请求伪造漏洞CNNVD编号:CNNVD-201305-587发布时间:2013-05-28更新时间:2013-05-28危害等级:漏洞类型:跨站请求伪造威胁类型:远程CVE编号:漏洞来源:Henry HoggardUser Role Editor是WordPress软件基金会的一款改变用户角色的插件。WordPress的User Role Editor插件中存在跨站请求伪造漏洞。远程攻击者可利用该漏洞在受影响应用程序上下文中执行某些未授权操作,也可能存在其他形式的攻击。User Role Editor 3.12版本中存在漏洞
阅读全文
摘要:漏洞名称:WordPress Frontier Post插件安全绕过漏洞CNNVD编号:CNNVD-201305-590发布时间:2013-05-28更新时间:2013-05-28危害等级:漏洞类型:权限许可和访问控制威胁类型:远程CVE编号:漏洞来源:teresaxFrontier Post是WordPress软件基金会的一款从前端添加、删除和编辑标准帖子的插件。WordPress的Frontier Post插件中存在安全绕过漏洞。攻击者可利用该漏洞绕过特定的安全限制,进而执行未授权的操作,有助于发起进一步攻击。目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商
阅读全文
摘要:漏洞名称:Apache Struts ‘includeParams’安全绕过漏洞CNNVD编号:CNNVD-201305-577发布时间:2013-05-28更新时间:2013-05-28危害等级:漏洞类型:权限许可和访问控制威胁类型:远程CVE编号:CVE-2013-2115漏洞来源:Eric Kobrin and Douglas Rodrigues (Akamai), Coverity Security Research Laboratory, NSFOCUS Security TeamApache Struts2是美国Apache软件基金会负责维护的一款用于创建企业级Java Web应用
阅读全文
摘要:漏洞名称:WordPress EELV Newsletter插件跨站脚本漏洞CNNVD编号:CNNVD-201305-580发布时间:2013-05-28更新时间:2013-05-28危害等级:漏洞类型:跨站脚本威胁类型:远程CVE编号:EELV Newsletter是WordPress软件基金会的一款在FrontOffice中添加注册表单的插件。WordPress的EELV Newsletter插件中存在跨站脚本漏洞。当用户浏览被影响的网站时,其浏览器将执行攻击者提供的任意代码,这可能导致攻击者窃取基于cookie的身份认证并发起其它攻击。EELV Newsletter 3.3.1之前的版本
阅读全文
摘要:测试方法:提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!/* * Linux kernel perf_events local root exploit * * by wzt 2013 http://www.cloud-sec.org * * gcc -o perf_exp per_exp.c -O2 * * target: 2.6.37 - 3.x * * test on: * rhel6.3/6.4 x86_64 * rhel6.3 + 3.2 kernel */#include<stdint.h>#include<stdio.h>#includ
阅读全文
摘要:漏洞版本:Apache Group Struts 2.0.0 - 2.3.14漏洞描述:CVE(CAN) ID: CVE-2013-1966Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。它是WebWork和Struts社区合并后的产物。Apache Struts2的s:a和s:url标签都提供了一个includeParams属性。此属性允许使用的值包括none、get、all。当该属性被设置为get或all时,Apache Struts2会将用户提交的参数值作为Ognl表达式执行。攻击者可以提交带有恶意的Ongl表达式,达
阅读全文
摘要:漏洞名称:Apache Struts ‘ParameterInterceptor’类OGNL安全绕过漏洞CNNVD编号:CNNVD-201305-486发布时间:2013-05-23更新时间:2013-05-23危害等级: 漏洞类型:权限许可和访问控制威胁类型:远程CVE编号:漏洞来源:Xgc Kxlzx, Alibaba Security TeamApache Struts是美国Apache软件基金会(ASF)的一款用于开发Java EE Web应用程序的开源Web应用框架。 Apache Struts 2.0.0至2.3.14版本中存在安全绕过漏洞,该漏洞源于程序没有充分处理用户提交的输入
阅读全文
摘要:漏洞名称:WordPress Spider Event Calendar 多个安全漏洞CNNVD编号:CNNVD-201305-488发布时间:2013-05-23更新时间:2013-05-23危害等级: 漏洞类型:威胁类型:远程CVE编号:漏洞来源:Janek Vind "waraxe"Spider Event Calendar是WordPress软件基金会的一款高度可配置的日历插件。 WordPress的Spider Event Calendar插件中存在以下多个安全漏洞:1.多个安全绕过漏洞2.多个SQL注入漏洞3.多个HTML注入漏洞4.多个跨站脚本漏洞。攻击者可利
阅读全文
摘要:漏洞名称:WordPress Spider Catalog插件多个SQL注入和跨站脚本漏洞CNNVD编号:CNNVD-201305-489发布时间:2013-05-23更新时间:2013-05-23危害等级: 漏洞类型:输入验证威胁类型:远程CVE编号:漏洞来源:Janek VindSpider Catalog是WordPress软件基金会的一个用于将网站上的产品形成产品目录的工具。 WordPress的Spider Catalog插件中存在多个SQL注入和跨站脚本漏洞。攻击者可利用这些漏洞窃取基于cookie的身份认证,控制应用程序,访问或修改数据,或利用底层数据库中潜在的漏洞。Spider
阅读全文
摘要:漏洞名称:WordPress Events Manager插件多个跨站脚本漏洞CNNVD编号:CNNVD-201305-490发布时间:2013-05-23更新时间:2013-05-23危害等级: 漏洞类型:跨站脚本威胁类型:远程CVE编号:Events Manager是WordPress软件基金会的一款功能全面的事件注册插件,包括重复事件、地点管理、日历、谷歌地图集成、预订管理等。 WordPress的Events Manager插件中存在多个跨站脚本漏洞,这些漏洞源于程序没有充分验证用户提交的输入。当用户浏览被影响的网站时,其浏览器将执行攻击者提供的任意代码,这可能导致攻击者窃取基于coo
阅读全文
摘要:漏洞名称:WordPress ProPlayer插件‘id’参数SQL注入漏洞CNNVD编号:CNNVD-201305-468发布时间:2013-05-22更新时间:2013-05-22危害等级: 漏洞类型:SQL注入威胁类型:远程CVE编号:漏洞来源:Ashiyane Digital Security TeamProPlayer是WordPress软件基金会的一个播放器插件。 WordPress的ProPlayer插件中存在SQL注入漏洞,该漏洞源于程序构造SQL查询语句之前没有充分过滤用户提交的数据。攻击者可利用该漏洞控制应用程序,访问或修改数据,或利用底层数据库中潜在的漏洞。ProPla
阅读全文
摘要:漏洞名称:WordPress Digg Digg插件跨站请求伪造漏洞CNNVD编号:CNNVD-201305-452发布时间:2013-05-22更新时间:2013-05-22危害等级: 漏洞类型:跨站请求伪造威胁类型:远程CVE编号:CVE-2013-3258漏洞来源:Charlie EriksenDigg Digg是WordPress软件基金会的一个社会分享插件,用于更好的管理显示在博客中的社会分享按钮。 WordPress的Digg Digg插件中存在跨站请求伪造漏洞。远程攻击者可利用该漏洞在受影响程序上下文中执行部分未授权操作,也可能存在其他形式的攻击。Digg Digg 5.3.4版
阅读全文
摘要:漏洞名称:WordPress WP Cleanfix插件‘wpCleanFixAjax.php’远程PHP代码执行漏洞CNNVD编号:CNNVD-201305-433发布时间:2013-05-21更新时间:2013-05-21危害等级: 漏洞类型:威胁类型:远程CVE编号:CVE-2013-2109漏洞来源:Henri SaloWP cleanfix是WordPress软件基金会的一个检查、修复和优化WordPress博客的工具。 WP cleanfix插件中存在远程PHP代码执行漏洞。攻击者可利用该漏洞在受影响应用程序上下文中执行任意PHP代码。 目前厂...
阅读全文
摘要:EDB-ID: 25496 Published: 2013-05-17# Exploit Title: PHP-CHARTS v1.0 code execution vulnerability# Date: 05/15/2013# Exploit Author: fizzle stick# Vendor Homepage: http://php-charts.com/# Software Link: http://php-charts.com/downloads/php-chart_v1.0.zip# Version: v1.0# Tested on: Windows Summary: PH.
阅读全文
摘要:漏洞名称:Linux kernel ‘scm_check_creds’函数安全漏洞CNNVD编号:CNNVD-201304-519发布时间:2013-05-20更新时间:2013-05-20危害等级:低危 漏洞类型:权限许可和访问控制威胁类型:本地CVE编号:CVE-2013-1958Linux Kernel是美国Linux基金会发布的开放源码操作系统Linux所使用的内核。 Linux kernel 3.8.6之前的版本中的net/core/scm.c中的‘scm_check_creds’函数中存在漏洞,本地攻击者可利用该漏洞绕过既定的访问限制。 目前厂...
阅读全文
摘要:漏洞名称:Linux kernel ‘clone_mnt’函数安全漏洞CNNVD编号:CNNVD-201304-518发布时间:2013-05-20更新时间:2013-05-20危害等级:中危 漏洞类型:权限许可和访问控制威胁类型:本地CVE编号:CVE-2013-1957Linux Kernel是美国Linux基金会发布的开放源码操作系统Linux所使用的内核。 Linux kernel 3.8.6之前的版本中的fs/namespace.c中的‘clone_mnt’函数中存在漏洞,该漏洞源于程序未正确限制对MNT_READONLY标记的更改。本地攻击者可通过挂载只读属性的文件系统,绕过该文件
阅读全文
摘要:漏洞名称:Linux kernel ‘create_user_ns’函数安全漏洞CNNVD编号:CNNVD-201304-517发布时间:2013-05-20更新时间:2013-05-20危害等级:低危 漏洞类型:权限许可和访问控制威胁类型:本地CVE编号:CVE-2013-1956Linux Kernel是美国Linux基金会发布的开放源码操作系统Linux所使用的内核。 Linux kernel 3.8.6之前的版本中的kernel/user_namespace.c中的‘create_user_ns’函数中存在漏洞,该漏洞源于程序未检查是否存在chroot的目录。本地攻击者可通过特制的cl
阅读全文
摘要:漏洞名称:WordPress WP cleanfix插件‘eval()’函数跨站请求伪造漏洞CNNVD编号:CNNVD-201305-381发布时间:2013-05-20更新时间:2013-05-20危害等级: 漏洞类型:跨站请求伪造威胁类型:远程CVE编号:漏洞来源:infodoxWP cleanfix是WordPress软件基金会的一个检查、修复和优化WordPress博客的工具。 WordPress的WP cleanfix插件中存在跨站请求伪造漏洞。远程攻击者可利用该漏洞在受影响应用程序上下文中执行某些未授权操作,也可能存在其他形式的攻击。WP cleanfix 2.4.4版本中存在漏洞
阅读全文
摘要:漏洞名称:WordPress wp-FileManager插件‘path’参数任意文件下载漏洞CNNVD编号:CNNVD-201305-379发布时间:2013-05-20更新时间:2013-05-20危害等级: 漏洞类型:威胁类型:远程CVE编号:漏洞来源:ByEgewp-FileManager是WordPress软件基金会的一款文件管理插件,允许更改、删除、整理和上传文件。 WordPress的wp-FileManager插件中存在任意文件下载漏洞,该漏洞源于程序没有充分过滤用户提交的输入。攻击者可利用该漏洞在Web服务器进程上下文中下载任意文件,信息的获得有助于发起进一步攻击。 ...
阅读全文
摘要:漏洞名称:WordPress Mail On Update插件跨站请求伪造漏洞CNNVD编号:CNNVD-201305-372发布时间:2013-05-20更新时间:2013-05-20危害等级: 漏洞类型:跨站请求伪造威胁类型:远程CVE编号:漏洞来源:Henri SaloMail On Update是WordPress软件基金会的一款邮件更新插件。 WordPress的Mail On Update插件中存在跨站请求伪造漏洞。远程攻击者可利用该漏洞在受影响应用程序上下文中执行某些未授权操作,也可能存在其他形式的攻击。Mail On Update 5.1.0版本中存在漏洞,其他版本也可能受到影
阅读全文
摘要:漏洞名称:WordPress Colormix主题多个安全漏洞CNNVD编号:CNNVD-201304-513发布时间:2013-05-20更新时间:2013-05-20危害等级: 漏洞类型:威胁类型:远程CVE编号:漏洞来源:MustLiveColormix theme是WordPress软件基金会的一个Wordpress主题模板。 WordPress的Colormix主题中存在多个安全漏洞,包括:1.跨站脚本漏洞2.路径泄露漏洞3.多个内容欺骗漏洞。攻击者可利用这些漏洞获得潜在的敏感信息,当用户浏览被影响的网站时,其浏览器将执行攻击者提供的任意代码,这可能导致攻击者窃取基于cookie的身
阅读全文
摘要:漏洞版本:Apache Group HTTP Server 2.2.x漏洞描述:BUGTRAQ ID: 59826CVE(CAN) ID: CVE-2013-1862Apache HTTP Server是开源HTTP服务器。Apache HTTP Server mod_rewrite向日志文件写入数据时,没有过滤不能打印的字符。如果 mod_rewrite 使用了指令RewriteLog,远程攻击者可利用此漏洞向日志文件写入终端转义序列。如果HTTP请求包含终端模拟器的转义序列,此漏洞也可造成任意命令执行。<* 参考https://bugzilla.redhat.com/show_bug
阅读全文
摘要:漏洞版本:Igor Sysoev nginx 1.1.19Igor Sysoev nginx 1.1.17Igor Sysoev nginx 1.0.9Igor Sysoev nginx 1.0.8Igor Sysoev nginx 1.0.15Igor Sysoev nginx 1.0.14Igor Sysoev nginx 1.0.10漏洞描述:BUGTRAQ ID: 59824CVE(CAN) ID: CVE-2013-2070Nginx是HTTP及反向代理服务器,同时也用作邮件代理服务器,由Igor Sysoev编写。Nginx 1.1.4 proxy_pass模块存在远程缓冲区溢出.
阅读全文
摘要:漏洞版本:Nginx 1.3.9 - 1.4.0漏洞描述:BUGTRAQ ID: 59699CVE(CAN) ID: CVE-2013-2028nginx是HTTP及反向代理服务器,同时也用作邮件代理服务器。nginx 1.3.9 - 1.4.0在解析HTTP块时,"ngx_http_parse_chunked()"函数 (http/ngx_http_parse.c)中存在错误,可被利用造成栈缓冲区溢出。<* 参考http://secunia.com/advisories/53248/ http://www.openwall.com/lists/oss-securit
阅读全文
摘要:漏洞名称:WordPress Related Posts by Zemanta插件跨站请求伪造漏洞CNNVD编号:CNNVD-201305-282发布时间:2013-05-16更新时间:2013-05-16危害等级:漏洞类型:跨站请求伪造威胁类型:远程CVE编号:CVE-2013-3477漏洞来源:Charlie Eriksen via SecuniaRelated Posts是WordPress软件基金会的一款日志插件。WordPress的Related Posts by Zemanta插件中存在跨站请求伪造漏洞。远程攻击者可利用该漏洞在受影响程序上下文中执行某些未授权操作,也可能存在其他形
阅读全文
摘要:漏洞名称:WordPress Related Posts插件跨站请求伪造漏洞CNNVD编号:CNNVD-201305-284发布时间:2013-05-16更新时间:2013-05-16危害等级:漏洞类型:跨站请求伪造威胁类型:远程CVE编号:CVE-2013-3257漏洞来源:Charlie Eriksen via SecuniaRelated Posts是WordPress软件基金会的一款日志插件。WordPress的Related Posts插件中存在跨站请求伪造漏洞。远程攻击者可利用该漏洞在受影响程序上下文中执行某些未授权操作,也可能存在其他形式的攻击。Related Posts 2.7
阅读全文
摘要:HDWiki百科建站系统(kaiyuan.hudong.com) “HDWiki5.1 正式版”(包括UTF8和GBK版本)下载安装包文件里被“黑客”人为植入恶意网站木马(后门)代码,该代码在站长用户下载安装HDWiki程序后,可以纪录并发送管理员密码到“黑客“控制的服务器上,并通过该恶意代码,直接控制该站长用户的网站系统,实现“脱库”、“挂马”及“非法SEO”等攻击。目前到本文发布为止,官方没有作出任何回应及防御措施。诊断工具(http://www.scanv.com/tools/)详细分析及解决方案见下:后门文件分析“黑客”在HDWiki安装文件包里,对三个文件进行篡改,来实现“远程执行恶
阅读全文
摘要:漏洞名称:Linux kernel ‘perf_swevent_init’函数数字错误漏洞CNNVD编号:CNNVD-201305-246发布时间:2013-05-15更新时间:2013-05-15危害等级:高危漏洞类型:数字错误威胁类型:本地CVE编号:CVE-2013-2094Linux Kernel是美国Linux基金会发布的开放源码操作系统Linux所使用的内核。Linux kernel 3.8.9之前的版本中的kernel/events/core.c中的‘perf_swevent_init’函数中存在漏洞,该漏洞源于程序使用不正确的整数数据类型。本地攻击者可通过特制的perf_eve
阅读全文
摘要:漏洞名称:WordPress Securimage-WP插件‘siwp_test.php’跨站脚本漏洞CNNVD编号:CNNVD-201305-240发布时间:2013-05-14更新时间:2013-05-14危害等级:漏洞类型:跨站脚本威胁类型:远程CVE编号:漏洞来源:Gjoko KrsticSecurimage-WP是WordPress软件基金会的一个验证码生成插件,用于防止文章和网页上的垃圾评论。WordPress的Securimage-WP插件中存在跨站脚本漏洞,该漏洞源于程序没有正确过滤用户提交的输入。当用户浏览被影响的网站时,其浏览器将执行攻击者提供的任意代码,这可能导致攻击者窃
阅读全文
摘要:漏洞名称:Nginx 远程安全漏洞CNNVD编号:CNNVD-201305-235发布时间:2013-05-14更新时间:2013-05-14危害等级:漏洞类型:威胁类型:远程CVE编号:CVE-2013-2070nginx是一款由俄罗斯程序员Igor Sysoev所开发轻量级的网页服务器、反向代理服务器以及电子邮件(IMAP/POP3)代理服务器。Nginx中存在远程安全漏洞。攻击者可利用该漏洞造成拒绝服务或获得敏感信息。目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:http://nginx.org/来源: BID名称: 59824链接:http://www.securityfo
阅读全文
摘要:漏洞名称:nginx 'ngx_http_parse.c' 栈缓冲区溢出漏洞CNNVD编号:CNNVD-201305-143发布时间:2013-05-14更新时间:2013-05-14危害等级:漏洞类型:缓冲区溢出威胁类型:远程CVE编号:CVE-2013-2028漏洞来源:Greg MacManus of iSIGHT Partners Labsnginx是一款由俄罗斯程序员Igor Sysoev所开发轻量级的网页服务器、反向代理服务器以及电子邮件(IMAP/POP3)代理服务器。nginx中存在基于栈的缓冲区溢出漏洞。攻击者可利用该漏洞在受影响程序上下文中执行任意代码,也可
阅读全文
摘要:漏洞名称:Linux Kernel ‘tun.c’拒绝服务漏洞CNNVD编号:CNNVD-201305-223发布时间:2013-05-13更新时间:2013-05-13危害等级: 漏洞类型:威胁类型:远程CVE编号:漏洞来源:Red HatLinux Kernel是美国Linux基金会发布的开放源码操作系统Linux所使用的内核。 Linux kernel中存在拒绝服务漏洞。攻击者可利用该漏洞造成系统崩溃,拒绝服务合法用户。 目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://www.kernel.org/ ...
阅读全文
摘要:漏洞名称:WordPress post-views插件跨站请求伪造漏洞CNNVD编号:CNNVD-201305-193发布时间:2013-05-10更新时间:2013-05-10危害等级:漏洞类型:跨站请求伪造威胁类型:远程CVE编号:CVE-2013-3252漏洞来源:Charlie Eriksen via Secuniapost-views是WordPress软件基金会的一款插件,用于记录帖子或页面被访问的次数,支持缓存插件、详细分析页面和强大的外部调用。WordPress的post-views插件中存在跨站请求伪造漏洞。远程攻击者可利用该漏洞在受影响应用程序上下文中执行某些未授权操作,也
阅读全文
摘要:漏洞名称:WordPress WP Photo Album Plus插件“commentid”参数跨站脚本漏洞CNNVD编号:CNNVD-201305-106发布时间:2013-05-09更新时间:2013-05-09危害等级:中危 漏洞类型:跨站脚本威胁类型:远程CVE编号:CVE-2013-3254WP Photo Album Plus是WordPress软件基金会的一款用于管理和显示相册和幻灯片的插件。 WordPress平台下的WP Photo Album Plus插件中存在跨站脚本漏洞,该漏洞源于通过"commentid"参数提交至wp-admin/admin.p
阅读全文
摘要:漏洞名称:WordPress Calendar插件跨站请求伪造漏洞CNNVD编号:CNNVD-201305-104发布时间:2013-05-09更新时间:2013-05-09危害等级:中危 漏洞类型:跨站请求伪造威胁类型:远程CVE编号:CVE-2013-2698Calendar是WordPress软件基金会的一款日历插件。 WordPress下的Calendar插件中存在跨站请求伪造漏洞,该漏洞源于程序允许用户在没有对HTTP请求进行正确校验的情况下用其执行某些操作。攻击者可利用该漏洞诱使登录用户访问特制网页从而添加日程表条目。Calendar plugin 1.3.2版本中存在漏洞,之前版
阅读全文
摘要:漏洞版本:Microsoft Internet Explorer 8.0漏洞描述:BUGTRAQ ID: 59641CVE(CAN) ID: CVE-2013-1347Microsoft Internet Explorer是微软公司推出的一款网页浏览器。Microsoft Internet Explorer 8在处理特定的畸形DOM操作时存在漏洞,远程攻击者利用该漏洞通过可以在当前用户的上下文中执行任意代码,控制用户系统。<* 参考http://www.fireeye.com/blog/technical/cyber-exploits/2013/05/ie-zero-day-is-use
阅读全文
摘要:漏洞版本:Linux kernel漏洞描述:BUGTRAQ ID: 59638Linux Kernel是Linux操作系统的内核。Linux Kernel在'host.c'的实现上存在多个拒绝服务漏洞,攻击者可利用这些漏洞造成内核崩溃。<* 参考Prasad J Pandit*>安全建议:厂商补丁:Linux-----目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.kernel.org/
阅读全文
摘要:漏洞名称:WordPress Top 10插件跨站请求伪造漏洞CNNVD编号:CNNVD-201305-050发布时间:2013-05-03更新时间:2013-05-03危害等级: 漏洞类型:跨站请求伪造威胁类型:远程CVE编号:WordPress Top 10的插件中存在跨站请求伪造漏洞。远程攻击者可利用该漏洞执行某些管理操作进而获得对受影响程序的未授权访问权限,也可能存在其他形式的攻击。Top 10 1.9.2版本中存在漏洞,其他版本也可能受到影响。目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: http://wordpress.org/extend/plugins/top-1
阅读全文
摘要:漏洞名称:WordPress SyntaxHighlighter Evolved插件跨站脚本漏洞CNNVD编号:CNNVD-201305-056发布时间:2013-05-03更新时间:2013-05-03危害等级: 漏洞类型:跨站脚本威胁类型:远程CVE编号:WordPress的 SyntaxHighlighter Evolved插件3.1.6之前的版本中存在跨站脚本漏洞,该漏洞源于程序未充分过滤用户提供的输入。当用户浏览被影响的网站时,其浏览器将执行攻击者 提供的任意代码,这可能导致攻击者窃取基于cookie的身份认证并发起其它攻击。目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
阅读全文
摘要:漏洞名称:WordPress Advanced XML Reader插件XML External Entity 信息泄露漏洞CNNVD编号:CNNVD-201305-069发布时间:2013-05-03更新时间:2013-05-03危害等级: 漏洞类型:信息泄露威胁类型:远程CVE编号:漏洞来源:admin@elites0ft.comWordPress的Advanced XML Reader插件中存在信息泄露漏洞。攻击者可利用该漏洞获得对敏感信息的访问权限,可导致进一步攻击。Advanced XML Reader 插件0.3.4版本中存在漏洞,其他版本也可能受到影响。目前厂商还没有提供此漏洞的
阅读全文
摘要:漏洞名称:Linux Kernel 本地提权漏洞CNNVD编号:CNNVD-201305-052发布时间:2013-05-03更新时间:2013-05-03危害等级: 漏洞类型:威胁类型:本地CVE编号:CVE-2013-1959漏洞来源:Andy LutomirskiLinux Kernel产品是美国一款开放源码操作系统Linux所使用的内核。 Linux kernel中存在本地提权漏洞。本地攻击者可利用该漏洞以root权限执行任意命令。 目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:http://www.kernel.org/ ...
阅读全文
摘要:漏洞名称:WordPress Easy AdSense Lite插件跨站请求伪造漏洞CNNVD编号:CNNVD-201305-027发布时间:2013-05-03更新时间:2013-05-03危害等级: 漏洞类型:跨站请求伪造威胁类型:远程CVE编号:CVE-2013-2702漏洞来源:Charlie EriksenWordPress的Easy AdSense Lite插件中存在跨站请求伪造漏洞。远程攻击者可利用该漏洞执行某些管理操作进而获得对受影响程序的未授权访问权限,也可能存在其他形式的攻击。 Easy AdSense Lite 6.06版本中存在漏洞,其他版本也可能受到影响。目前厂商已经
阅读全文
摘要:漏洞名称:Linux Kernel Virtual Ethernet 拒绝服务漏洞CNNVD编号:CNNVD-201305-032发布时间:2013-05-03更新时间:2013-05-03危害等级: 漏洞类型:威胁类型:远程CVE编号:漏洞来源:Mart??n FerrariLinux Kernel产品是美国一款开放源码操作系统Linux所使用的内核。 Linux kernel中存在拒绝服务漏洞。攻击者可利用该漏洞造成系统崩溃,拒绝服务合法用户。 目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:http://www.kernel.org/ ...
阅读全文
摘要:漏洞名称:Nagios Core 不安全临时文件创建漏洞CNNVD编号:CNNVD-201305-023发布时间:2013-05-03更新时间:2013-05-03危害等级: 漏洞类型:威胁类型:本地CVE编号:CVE-2013-2029漏洞来源:Grant MurphyNagios是一款免费开放源代码的主机和服务监视软件,可使用在多种Linux和Unix操作系统下。 Nagios Core中存在不安全临时文件创建漏洞。本地攻击者可利用该漏洞执行符号链接攻击,在受影响程序上下文中重写任意文件。 目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件...
阅读全文
摘要:漏洞名称:memcached 远程拒绝服务漏洞CNNVD编号:CNNVD-201305-044发布时间:2013-05-03更新时间:2013-05-03危害等级: 漏洞类型:威胁类型:远程CVE编号:CVE-2011-4971漏洞来源:infodoxMemcached是以LiveJournal旗下Danga Interactive公司的Brad Fitzpatric为首开发的一款软件,是一个高性能的分布式内存对象缓存系统,用于动态Web应用以减轻数据库负载。 memcached中存在远程拒绝服务漏洞。攻击者可利用该漏洞造成应用程序崩溃,拒绝服务合法用户。 ...
阅读全文
浙公网安备 33010602011771号