09 2013 档案
摘要:漏洞名称:WordPress Lazy SEO插件lazyseo.php脚本任意文件上传漏洞CNNVD编号:CNNVD-201309-446发布时间:2013-09-26更新时间:2013-09-26危害等级:漏洞类型:代码注入威胁类型:远程CVE编号:漏洞来源:Ashiyane Digital Security TeamWordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。Lazy SEO是其中的一个搜索引擎优化插件。WordPress中的Lazy SEO插件中存在任意文件上传漏洞,该漏洞源于程序没有充分
阅读全文
摘要:漏洞名称:WordPress Bradesco Gateway插件‘falha.php’跨站脚本漏洞CNNVD编号:CNNVD-201309-451发布时间:2013-09-26更新时间:2013-09-26危害等级:漏洞类型:跨站脚本威胁类型:远程CVE编号:CVE-2013-5916漏洞来源:Alexandro SilvaWordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。Bradesco Gateway是其中的一个支付网关插件。WordPress的Bradesco Gateway插件中存在跨站脚本漏
阅读全文
摘要:漏洞名称:WordPress Sharebar ‘page’参数跨站脚本漏洞CNNVD编号:CNNVD-201309-468发布时间:2013-09-26更新时间:2013-09-26危害等级:漏洞类型:跨站脚本威胁类型:远程CVE编号:漏洞来源:ACC3SSWordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。Sharebar是其中的一个可在博客文章或社交网站中添加分享条的插件。WordPress Sharebar插件中存在跨站脚本漏洞,该漏洞源于程序没有过滤用户提交的输入。当用户浏览被影响的网站时,其浏
阅读全文
摘要:漏洞名称:WordPress RokStories插件‘thumb.php’多个安全漏洞CNNVD编号:CNNVD-201309-438发布时间:2013-09-26更新时间:2013-09-26危害等级:漏洞类型:其他威胁类型:远程CVE编号:漏洞来源:Must LiveWordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。RokStories是其中的一个用于显示文章和附带图像的插件。WordPress的RokStories插件中存在多个安全漏洞,包括:1.任意文件上传漏洞2.跨站脚本漏洞 3.信息泄露漏
阅读全文
摘要:漏洞名称:WordPress mb.miniAudioPlayer插件多个跨站脚本漏洞CNNVD编号:CNNVD-201309-469发布时间:2013-09-26更新时间:2013-09-26危害等级:漏洞类型:跨站脚本威胁类型:远程CVE编号:漏洞来源:ACC3SSWordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。mb.miniAudioPlayer是其中的一个HTML5音乐播放器插件。WordPress的mb.miniAudioPlayer插件中存在多个跨站脚本漏洞,这些漏洞源于程序没有过滤用户提
阅读全文
摘要:漏洞版本:Dedecms漏洞描述:DedeCms是免费的PHP网站内容管理系统。织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统。在gpc=off的情况下,小说模块添加章节insert注入漏洞。安全建议:厂商补丁:dedecms-------目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.dedecms.com/products/dedecms/
阅读全文
摘要:漏洞版本:Phpwind v9.0漏洞描述:Phpwind专注于中小网站应用的整合和价值的发掘,我们认为,以社区为网站的基础,可以提供丰富的应用,满足人们获取信息、交流、娱乐、消费等生活需求、获得归属感,成为人们的网上家园。发帖回帖,上传图片处,绕过客户端限制。也可以通过高级,的代码模式进行编辑,插入XSS代码安全建议:厂商补丁:PHPWind-------目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.phpwind.net/
阅读全文
摘要:漏洞版本:Apache Group Struts 安全建议:厂商补丁:Apache Group------------Apache Group已经为此发布了一个安全公告(s2-018)以及相应补丁:s2-018:S2-018链接:http://struts.apache.org/release/2.3.x/docs/s2-018.html补丁下载:http://struts.apache.org/download.cgi#struts23152
阅读全文
摘要:漏洞版本:Apache Group Struts 安全建议:厂商补丁:Apache Group------------Apache Group已经为此发布了一个安全公告(s2-019)以及相应补丁:s2-019:S2-019链接:http://struts.apache.org/release/2.3.x/docs/s2-019.html补丁下载:http://struts.apache.org/download.cgi#struts23152
阅读全文
摘要:漏洞名称:WordPress Platinum SEO插件跨站脚本漏洞CNNVD编号:CNNVD-201309-398发布时间:2013-09-24更新时间:2013-09-24危害等级:中危漏洞类型:跨站脚本威胁类型:远程CVE编号:CVE-2013-5918WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。Platinum SEO是其中的一个搜索引擎优化插件。WordPress的Platinum SEO插件1.3.7及之前的版本中的platinum_seo_pack.php脚本中存在跨站脚本漏洞。远
阅读全文
摘要:漏洞名称:WordPress NOSpam PTI插件‘comment_post_ID’参数SQL注入漏洞CNNVD编号:CNNVD-201309-388发布时间:2013-09-24更新时间:2013-09-24危害等级:高危漏洞类型:SQL注入威胁类型:远程CVE编号:CVE-2013-5917漏洞来源:Alexandro SilvaWordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。NOSpam PTI是其中的一个消除垃圾邮件插件。WordPress的NOSpam PTI插件2.1版本中的wp-co
阅读全文
摘要:漏洞名称:WordPress RokMicroNews插件‘thumb.php’ 多个安全漏洞CNNVD编号:CNNVD-201309-384发布时间:2013-09-24更新时间:2013-09-24危害等级:漏洞类型:威胁类型:远程CVE编号:漏洞来源:Must LiveWordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。RokMicroNews是其中的一个内容显示插件。WordPress的RokMicroNews插件中存在多个安全漏洞,包括:1.信息泄露漏洞2.跨站脚本漏洞3.任意文件上传漏洞4.拒
阅读全文
摘要:漏洞名称:WordPress Complete Gallery Manager插件‘upload-images.php’任意文件上传漏洞CNNVD编号:CNNVD-201309-377发布时间:2013-09-24更新时间:2013-09-24危害等级:漏洞类型:输入验证威胁类型:远程CVE编号:漏洞来源:Fuad Pilus of Vulnerability Lab.WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。Complete Gallery Manager是其中的一个图片管理插件。WordPr
阅读全文
摘要:漏洞名称:WordPress RokIntroScroller插件‘thumb.php’多个安全漏洞CNNVD编号:CNNVD-201309-383发布时间:2013-09-24更新时间:2013-09-24危害等级:漏洞类型:威胁类型:远程CVE编号:漏洞来源:Must LiveWordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。RokIntroScroller是其中的一个可使文章以水平方式进行显示的插件。WordPress的RokIntroScroller插件中存在多个安全漏洞,包括:1.任意文件上传
阅读全文
摘要:漏洞名称:WordPress RokNewsPager插件‘thumb.php’多个安全漏洞CNNVD编号:CNNVD-201309-369发布时间:2013-09-24更新时间:2013-09-24危害等级:漏洞类型:威胁类型:远程CVE编号:漏洞来源:Must LiveWordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。RokNewsPager是其中的一个文章预览插件。WordPress的RokNewsPager插件中存在多个安全漏洞,包括:1.信息泄露漏洞2.跨站脚本漏洞3.任意文件上传漏洞4.拒绝
阅读全文
摘要:漏洞版本:PHP 5.4.1PHP 5.3.13PHP 5.3.12PHP 5.3.11PHP 5.3.10PHP 5.3.1PHP 5.3漏洞描述:BUGTRAQ ID: 62373CVE(CAN) ID: CVE-2013-1824PHP是一种HTML内嵌式的语言。PHP 5.3.22、5.4.13之前版本存在多个任意文件泄露漏洞,经过身份验证的攻击者可利用这些漏洞查看受影响应用内的任意文件。安全建议:厂商补丁:PHP---目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/downloads.php
阅读全文
摘要:漏洞版本:Linux kernel漏洞描述:BUGTRAQ ID: 62405CVE(CAN) ID: CVE-2013-4350Linux Kernel是Linux操作系统的内核。Linux kernel在sctp_v6_xmit中存在ipv6加密bug,攻击者可利用此漏洞泄露敏感信息。安全建议:厂商补丁:Linux-----目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.kernel.org/
阅读全文
摘要:漏洞版本:Discuz x 2.5 - 3.0漏洞描述:Discuz! 已拥有11年以上的应用历史和200多万网站用户案例是全球成熟度最高、覆盖率最大的论坛软件系统之一,淘帖处发表评论,直接插入XSS CODE。可触发XSS漏洞安全建议:厂商补丁:Discuz!------下载官方最新程序
阅读全文
摘要:漏洞版本:WordPress 3.6漏洞描述:CVE ID:CVE-2013-5738WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志WordPress get_allowed_mime_types函数(wp-includes/functions.php)存在安全漏洞,由于不正确限制.html和.html文件上传,允许远程通过验证的攻击者构建特制文件,进行跨站脚本攻击,可获取目标用户敏感信息或者劫持用户会话安全建议:厂商解决方案WordPress 3.6.1已经修改该漏洞,建议用户下载更新:http://codex.wordp
阅读全文
摘要:漏洞版本:WordPress 3.6漏洞描述:Bugtraq ID:62345CVE ID:CVE-2013-4338WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志WordPress wp-includes/functions.php is_serialized()函数不正确判断数据是否被序列化过,允许远程攻击者利用漏洞触发错误的PHP反序列化操作来执行任意代码安全建议:厂商解决方案WordPress 3.6.1已经修改该漏洞,建议用户下载更新:http://codex.wordpress.org/Version_3.6.1
阅读全文
摘要:漏洞版本:WordPress 3.6漏洞描述:Bugtraq ID:62346CVE ID:CVE-2013-4340WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志WordPress wp-admin/includes/post.php脚本在处理'user_ID'参数时存在一个安全漏洞,允许远程攻击者利用漏洞提供修改过的user_ID参数伪造任意帖子的作者安全建议:厂商解决方案WordPress 3.6.1已经修改该漏洞,建议用户下载更新:http://codex.wordpress.org/Version_
阅读全文
摘要:漏洞版本:Linux kernel 安全建议:厂商补丁:Linux-----目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.kernel.org/http://permalink.gmane.org/gmane.linux.kernel/1559873
阅读全文
摘要:漏洞版本:WordPress 3.6漏洞描述:Bugtraq ID:62344CVE ID:CVE-2013-4339WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志WordPress在处理特制的字符串时存在重定向漏洞,允许远程攻击者利用漏洞构建恶意URI,诱使用户解析,来绕过重定向限制,对目标用户进行网络钓鱼等攻击安全建议:厂商解决方案WordPress 3.6.1已经修改该漏洞,建议用户下载更新:http://codex.wordpress.org/Version_3.6.1http://wordpress.org/new
阅读全文
摘要:漏洞名称:WordPress wp-includes/functions.php脚本远程任意代码执行漏洞CNNVD编号:CNNVD-201309-166发布时间:2013-09-13更新时间:2013-09-13危害等级:高危漏洞类型:代码注入威胁类型:远程CVE编号:CVE-2013-4338WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress 3.6及之前的版本中的wp-includes/functions.php脚本中存在远程任意代码执行漏洞,该漏洞源于程序未确定数据是否已经序列化
阅读全文
摘要:漏洞名称:WordPress 开放重定向漏洞CNNVD编号:CNNVD-201309-167发布时间:2013-09-13更新时间:2013-09-13危害等级:高危漏洞类型:输入验证威胁类型:远程CVE编号:CVE-2013-4339WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress 3.6及之前的版本中存在开放重定向漏洞,该漏洞源于程序使用HTTP重定向后没有正确过滤URLs。远程攻击者可借助特制的字符串利用该漏洞绕过既定的重定向限制。目前厂商已经发布了升级补丁以修复此安全问题,补
阅读全文
摘要:漏洞名称:WordPress wp-admin/includes/post.php脚本安全漏洞CNNVD编号:CNNVD-201309-168发布时间:2013-09-13更新时间:2013-09-13危害等级:低危漏洞类型:权限许可和访问控制威胁类型:远程CVE编号:CVE-2013-4340WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress 3.6及之前的版本中的wp-admin/includes/post.php脚本中存在安全漏洞。远程授权的攻击者可通过Author角色和提供修改
阅读全文
摘要:漏洞名称:WordPress ‘get_allowed_mime_types’函数安全漏洞CNNVD编号:CNNVD-201309-169发布时间:2013-09-13更新时间:2013-09-13危害等级:中危漏洞类型:输入验证威胁类型:远程CVE编号:CVE-2013-5738WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress 3.6及之前的版本中的wp-includes/functions.php脚本中的‘get_allowed_mime_types’函数中存在安全漏洞,该漏洞源
阅读全文
摘要:漏洞名称:WordPress ‘get_allowed_mime_types’函数安全漏洞CNNVD编号:CNNVD-201309-170发布时间:2013-09-13更新时间:2013-09-13危害等级:低危漏洞类型:跨站脚本威胁类型:远程CVE编号:CVE-2013-5739WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress 3.6及之前的版本默认配置中的wp-includes/functions.php脚本中的‘get_allowed_mime_types’函数中存在安全漏洞,
阅读全文
摘要:漏洞名称:WordPress Ultimate Auction插件跨站请求伪造漏洞CNNVD编号:CNNVD-201306-396发布时间:2013-09-11更新时间:2013-09-11危害等级:漏洞类型:跨站请求伪造威胁类型:远程CVE编号:漏洞来源:expl0i13rWordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。Ultimate Auction是其中的一个拍卖插件。WordPress的Ultimate Auction插件中存在跨站请求伪造漏洞。攻击者可利用该漏洞在受影响应用程序上下文中执行某
阅读全文
摘要:漏洞名称:WordPress Event Easy Calendar插件多个跨站请求伪造漏洞CNNVD编号:CNNVD-201309-083发布时间:2013-09-11更新时间:2013-09-11危害等级:漏洞类型:跨站请求伪造威胁类型:远程CVE编号:漏洞来源:AdAla GoldovAIWordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。Event Easy Calendar是其中的一个事件日历插件。WordPress的Event Easy Calendar插件中存在多个跨站请求伪造漏洞。攻击者可
阅读全文
摘要:漏洞名称:WordPress Design Approval System插件‘step’参数跨站脚本漏洞CNNVD编号:CNNVD-201309-084发布时间:2013-09-11更新时间:2013-09-11危害等级:漏洞类型:跨站脚本威胁类型:远程CVE编号:漏洞来源:iBlissWordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。Design Approval System是其中的一个提供审核功能(审核照片、文档等)的系统插件。WordPress的Design Approval System插件
阅读全文
摘要:漏洞名称:PHP 不安全文件权限漏洞CNNVD编号:CNNVD-201309-056发布时间:2013-09-09更新时间:2013-09-09危害等级:漏洞类型:权限许可和访问控制威胁类型:本地CVE编号:CVE-2012-5381漏洞来源:High-Tech BridgePHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言支持多重语法、支持多数据库及操作系统和支持C、C++进行程序扩展等。PHP中存在不安全文件权限漏洞。本地攻击者可利用该漏洞获得提升的权限,有助于进一步攻击。
阅读全文
摘要:漏洞名称:Linux Kernel ‘perf’ Utility 本地提权漏洞CNNVD编号:CNNVD-201309-050发布时间:2013-09-09更新时间:2013-09-09危害等级:漏洞类型:威胁类型:本地CVE编号:CVE-2013-1060漏洞来源:Vasily KulikovLinux Kernel是美国Linux基金会发布的一款操作系统Linux所使用的内核。Linux kernel中存在本地提权漏洞。本地攻击者可利用该漏洞获得root权限,导致完全控制受影响计算机。目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://www.kernel.org/来
阅读全文
摘要:安卓应用存在安全漏洞,浏览网站打开链接即可中招。目前有白帽子提交漏洞表明目前安卓平台上的应用普遍存在一个安全漏洞,用户打开一个链接就可导致远程安装恶意应用甚至完全控制用户手机,目前微信,手机QQ,QVOD以及各大手机浏览器均中招0x00 背景在android的sdk中封装了webView控件。这个控件主要用开控制的网页浏览。在程序中装载webView控件,可以设置属性(颜色,字体等)。类似PC下directUI的功能。在webView 下有一个非常特殊的接口函数addJavascriptInterface。能实现本地java和js的交互。利用addJavascriptInterface这个接口
阅读全文
摘要:漏洞名称:WordPress Simple Login Registration插件’username‘参数跨站脚本漏洞CNNVD编号:CNNVD-201308-519发布时间:2013-09-05更新时间:2013-09-05危害等级:漏洞类型:跨站脚本威胁类型:远程CVE编号:漏洞来源:Dylan IrziWordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。Simple Login Registration是其中的一个前端用户管理插件。WordPress中的Simple Login Registrat
阅读全文
