夏虫xm - 博客园

2013年9月17日

WordPress /wp-admin/includes/post.php user_ID 参数操作权限提升漏洞

摘要：漏洞版本:WordPress 3.6漏洞描述:Bugtraq ID:62346CVE ID:CVE-2013-4340WordPress是一种使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志WordPress wp-admin/includes/post.php脚本在处理'user_ID'参数时存在一个安全漏洞，允许远程攻击者利用漏洞提供修改过的user_ID参数伪造任意帖子的作者安全建议:厂商解决方案WordPress 3.6.1已经修改该漏洞，建议用户下载更新：http://codex.wordpress.org/Version_ 阅读全文

posted @ 2013-09-17 00:24 夏虫xm 阅读(400) 评论(0) 推荐(0) 编辑

Linux Kernel TUNSETIFF释放后重用本地拒绝服务漏洞(CVE-2013-4343)

摘要：漏洞版本:Linux kernel 安全建议:厂商补丁：Linux-----目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://www.kernel.org/http://permalink.gmane.org/gmane.linux.kernel/1559873 阅读全文

posted @ 2013-09-17 00:21 夏虫xm 阅读(264) 评论(0) 推荐(0) 编辑

WordPress特制字符串URL重定向限制绕过漏洞

摘要：漏洞版本:WordPress 3.6漏洞描述:Bugtraq ID:62344CVE ID:CVE-2013-4339WordPress是一种使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志WordPress在处理特制的字符串时存在重定向漏洞，允许远程攻击者利用漏洞构建恶意URI，诱使用户解析，来绕过重定向限制，对目标用户进行网络钓鱼等攻击安全建议:厂商解决方案WordPress 3.6.1已经修改该漏洞，建议用户下载更新：http://codex.wordpress.org/Version_3.6.1http://wordpress.org/new 阅读全文

posted @ 2013-09-17 00:20 夏虫xm 阅读(235) 评论(0) 推荐(0) 编辑

2013年9月14日

WordPress wp-includes/functions.php脚本远程任意代码执行漏洞

摘要：漏洞名称：WordPress wp-includes/functions.php脚本远程任意代码执行漏洞CNNVD编号：CNNVD-201309-166发布时间：2013-09-13更新时间：2013-09-13危害等级：高危漏洞类型：代码注入威胁类型：远程CVE编号：CVE-2013-4338WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress 3.6及之前的版本中的wp-includes/functions.php脚本中存在远程任意代码执行漏洞，该漏洞源于程序未确定数据是否已经序列化阅读全文

posted @ 2013-09-14 00:03 夏虫xm 阅读(920) 评论(0) 推荐(0) 编辑

WordPress 开放重定向漏洞

摘要：漏洞名称：WordPress 开放重定向漏洞CNNVD编号：CNNVD-201309-167发布时间：2013-09-13更新时间：2013-09-13危害等级：高危漏洞类型：输入验证威胁类型：远程CVE编号：CVE-2013-4339WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress 3.6及之前的版本中存在开放重定向漏洞，该漏洞源于程序使用HTTP重定向后没有正确过滤URLs。远程攻击者可借助特制的字符串利用该漏洞绕过既定的重定向限制。目前厂商已经发布了升级补丁以修复此安全问题，补阅读全文

posted @ 2013-09-14 00:02 夏虫xm 阅读(161) 评论(0) 推荐(0) 编辑

WordPress wp-admin/includes/post.php脚本安全漏洞

摘要：漏洞名称：WordPress wp-admin/includes/post.php脚本安全漏洞CNNVD编号：CNNVD-201309-168发布时间：2013-09-13更新时间：2013-09-13危害等级：低危漏洞类型：权限许可和访问控制威胁类型：远程CVE编号：CVE-2013-4340WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress 3.6及之前的版本中的wp-admin/includes/post.php脚本中存在安全漏洞。远程授权的攻击者可通过Author角色和提供修改阅读全文

posted @ 2013-09-14 00:01 夏虫xm 阅读(669) 评论(0) 推荐(0) 编辑

WordPress ‘get_allowed_mime_types’函数安全漏洞（2）

摘要：漏洞名称：WordPress ‘get_allowed_mime_types’函数安全漏洞CNNVD编号：CNNVD-201309-169发布时间：2013-09-13更新时间：2013-09-13危害等级：中危漏洞类型：输入验证威胁类型：远程CVE编号：CVE-2013-5738WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress 3.6及之前的版本中的wp-includes/functions.php脚本中的‘get_allowed_mime_types’函数中存在安全漏洞，该漏洞源阅读全文

posted @ 2013-09-14 00:00 夏虫xm 阅读(152) 评论(0) 推荐(0) 编辑

2013年9月13日

WordPress ‘get_allowed_mime_types’函数安全漏洞

摘要：漏洞名称：WordPress ‘get_allowed_mime_types’函数安全漏洞CNNVD编号：CNNVD-201309-170发布时间：2013-09-13更新时间：2013-09-13危害等级：低危漏洞类型：跨站脚本威胁类型：远程CVE编号：CVE-2013-5739WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress 3.6及之前的版本默认配置中的wp-includes/functions.php脚本中的‘get_allowed_mime_types’函数中存在安全漏洞，阅读全文

posted @ 2013-09-13 23:58 夏虫xm 阅读(131) 评论(0) 推荐(0) 编辑

2013年9月11日

WordPress Ultimate Auction插件跨站请求伪造漏洞

摘要：漏洞名称：WordPress Ultimate Auction插件跨站请求伪造漏洞CNNVD编号：CNNVD-201306-396发布时间：2013-09-11更新时间：2013-09-11危害等级：漏洞类型：跨站请求伪造威胁类型：远程CVE编号：漏洞来源：expl0i13rWordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站。Ultimate Auction是其中的一个拍卖插件。WordPress的Ultimate Auction插件中存在跨站请求伪造漏洞。攻击者可利用该漏洞在受影响应用程序上下文中执行某阅读全文

posted @ 2013-09-11 22:07 夏虫xm 阅读(201) 评论(0) 推荐(0) 编辑

WordPress Event Easy Calendar插件多个跨站请求伪造漏洞

摘要：漏洞名称：WordPress Event Easy Calendar插件多个跨站请求伪造漏洞CNNVD编号：CNNVD-201309-083发布时间：2013-09-11更新时间：2013-09-11危害等级：漏洞类型：跨站请求伪造威胁类型：远程CVE编号：漏洞来源：AdAla GoldovAIWordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站。Event Easy Calendar是其中的一个事件日历插件。WordPress的Event Easy Calendar插件中存在多个跨站请求伪造漏洞。攻击者可阅读全文

posted @ 2013-09-11 22:05 夏虫xm 阅读(130) 评论(0) 推荐(0) 编辑

漏洞信息库

公告