2013 年 6月 7 日随笔档案 - 夏虫xm

2013年6月7日

摘要：漏洞版本:dedecms v5.7漏洞描述:起因是全局变量$GLOBALS可以被任意修改，随便看了下，漏洞一堆，我只找了一处。include/dedesql.class.phpif(isset($GLOBALS['arrs1'])){ $v1 = $v2 ='';for($i=0;isset($arrs1[$i]);$i++){ $v1 .= chr($arrs1[$i]);}for($i=0;isset($arrs2[$i]);$i++){ $v2 .= chr($arrs2[$i]);//解码ascii} $GLOBALS[$v1].= $v2;//注意这里阅读全文

posted @ 2013-06-07 20:12 夏虫xm 阅读(191) 评论(0) 推荐(0) 编辑

WordPress ADIF Log Search Widget 插件‘logbook_search.php’跨站脚本漏洞

摘要：漏洞名称：WordPress ADIF Log Search Widget 插件‘logbook_search.php’跨站脚本漏洞CNNVD编号：CNNVD-201306-012发布时间：2013-06-07更新时间：2013-06-07危害等级：漏洞类型：跨站脚本威胁类型：远程CVE编号：漏洞来源：k3170makanADIF Log Search是WordPress软件基金会的一款插件。功能是上传ADIF日志数据，查询为搜索准备的数据即QSO。WordPress的ADIF Log Search小工具插件中存在跨站脚本漏洞，该漏洞源于程序没有正确验证用户提交的输入。当用户浏览被影响的网站时阅读全文

posted @ 2013-06-07 20:06 夏虫xm 阅读(207) 评论(0) 推荐(0) 编辑

Linux Kernel ‘perf’多个拒绝服务和信息泄露漏洞

摘要：漏洞名称：Linux Kernel ‘perf’多个拒绝服务和信息泄露漏洞CNNVD编号：CNNVD-201306-057发布时间：2013-06-07更新时间：2013-06-07危害等级：漏洞类型：其他威胁类型：远程CVE编号：漏洞来源：Peter Zijlstra and Stephane EranianLinux Kernel是美国Linux基金会发布的开放源码操作系统Linux所使用的内核。Linux kernel中存在多个拒绝服务和信息泄露漏洞。攻击者可利用这些漏洞获得对敏感信息的访问权限或造成拒绝服务，也可能存在其他形式的攻击。目前厂商已经发布了升级补丁以修复此安全问题，补丁获取阅读全文

posted @ 2013-06-07 20:04 夏虫xm 阅读(135) 评论(0) 推荐(0) 编辑

WordPress qTranslate插件跨站请求伪造漏洞

摘要：漏洞名称：WordPress qTranslate插件跨站请求伪造漏洞CNNVD编号：CNNVD-201306-058发布时间：2013-06-07更新时间：2013-06-07危害等级：漏洞类型：跨站请求伪造威胁类型：远程CVE编号：CVE-2013-3251漏洞来源：Charlie Eriksen via SecuniaqTranslate是由华人秦谦开发的一款WordPress多语言插件。其主要功能是通过处理WordPress前台/后台的过程，实现多语言数据分开编辑、共同存储于数据库中，以达到多语言WordPress，并可随意切换。WordPress的qTranslate插件中存在跨站请阅读全文

posted @ 2013-06-07 20:03 夏虫xm 阅读(172) 评论(0) 推荐(0) 编辑

Apache Struts OGNL表达式注入漏洞

摘要：漏洞名称：Apache Struts OGNL表达式注入漏洞CNNVD编号：CNNVD-201306-105发布时间：2013-06-07更新时间：2013-06-07危害等级：漏洞类型：威胁类型：远程CVE编号：CVE-2013-2135漏洞来源：Jon Passki via Coverity Security Research LaboratoryApache Struts2是美国Apache软件基金会负责维护的一款用于创建企业级Java Web应用的开源框架。Apache Struts 2.0.0至2.3.14.3版本中存在远程OGNL表达式注入漏洞。远程攻击者可利用该漏洞操作服务器端的阅读全文

posted @ 2013-06-07 20:00 夏虫xm 阅读(3056) 评论(0) 推荐(0) 编辑

Linux Kernel ‘copy_event_to_user()’函数本地信息泄露漏洞

摘要：漏洞名称：Linux Kernel ‘copy_event_to_user()’函数本地信息泄露漏洞CNNVD编号：CNNVD-201306-108发布时间：2013-06-07更新时间：2013-06-07危害等级：漏洞类型：信息泄露威胁类型：本地CVE编号：漏洞来源：Prasad J PanditLinux Kernel是美国Linux基金会发布的开放源码操作系统Linux所使用的内核。Linux kernel中存在本地信息泄露漏洞。本地攻击者可利用该漏洞获得敏感信息，有助于发起进一步攻击。目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：http://www.kernel.org 阅读全文

posted @ 2013-06-07 19:59 夏虫xm 阅读(181) 评论(0) 推荐(0) 编辑

WordPress Simple Paypal Shopping Cart插件跨站请求伪造漏洞

摘要：漏洞名称：WordPress Simple Paypal Shopping Cart插件跨站请求伪造漏洞CNNVD编号：CNNVD-201306-106发布时间：2013-06-07更新时间：2013-06-07危害等级：漏洞类型：跨站请求伪造威胁类型：远程CVE编号：CVE-2013-2705漏洞来源：Charlie Eriksen via SecuniaSimple Paypal Shopping Cart是WordPress软件基金会的一款容易使用和轻量级的插件。提供添加“加入购物车”按钮，可把WordPress博客变成一个电子商务网站。WordPress的Simple Paypal S 阅读全文

posted @ 2013-06-07 19:59 夏虫xm 阅读(165) 评论(0) 推荐(0) 编辑

Linux Kernel ‘mmc_ioctl_cdrom_read_data()’ 函数本地信息泄露漏洞

摘要：漏洞名称：Linux Kernel ‘mmc_ioctl_cdrom_read_data()’ 函数本地信息泄露漏洞CNNVD编号：CNNVD-201306-122发布时间：2013-06-07更新时间：2013-06-07危害等级：漏洞类型：信息泄露威胁类型：本地CVE编号：漏洞来源：Jonathan SalwanLinux Kernel是美国Linux基金会发布的开放源码操作系统Linux所使用的内核。Linux kernel中存在本地信息泄露漏洞。本地攻击者可利用该漏洞获得敏感信息，可导致进一步攻击。目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：http://www.kern 阅读全文

posted @ 2013-06-07 19:58 夏虫xm 阅读(210) 评论(0) 推荐(0) 编辑

漏洞信息库

公告