漏洞信息库

摘要： 漏洞名称：WordPress FuneralPress插件多个HTML注入漏洞CNNVD编号：CNNVD-201304-007发布时间：2013-04-02更新时间：2013-04-02危害等级： 漏洞类型：输入验证威胁类型：远程CVE编号：漏洞来源：Rob ArmstrongWordPress是一种使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。 WordPress中的FuneralPress插件中存在多个HTML注入漏洞，这些漏洞源于程序没有正确验证用户提供的输入。攻击者利用这些漏洞在受影响浏览器上下文中运行恶意的HTML和脚本代码，潜在的允许 阅读全文

摘要： 漏洞名称：WordPress MathJax-LaTeX插件跨站请求伪造漏洞CNNVD编号：CNNVD-201304-012发布时间：2013-04-02更新时间：2013-04-02危害等级： 漏洞类型：跨站请求伪造威胁类型：远程CVE编号：WordPress是一种使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。 WordPress中的MathJax-LaTeX中存在跨站请求伪造漏洞。攻击者利用该漏洞执行某些管理员操作进而获得未授权访问到受影响应用程序，也可能存在其他攻击。MathJax-LaTeX 1.1版本中存在漏洞，其他版本也可能受到影响。 阅读全文

摘要： 漏洞版本:DedeCms 5.x漏洞描述:DedeCms是免费的PHP网站内容管理系统。plus/carbuyaction.php里没有对变量进行严格的过滤出现漏洞的两个文件为：Include/payment/alipay.phpInclude/payment/yeepay.php漏洞均出现在respond方法里Include/payment/alipay.php......function respond(){if(!empty($_POST)){foreach($_POST as $key => $data){ $_GET[$key]= $data;}}/* 引入配置文件 * 阅读全文

摘要： 漏洞名称：WordPress User Photo ‘user-photo.php’任意文件上传漏洞CNNVD编号：CNNVD-201303-530发布时间：2013-03-27更新时间：2013-03-27危害等级： 漏洞类型：输入验证威胁类型：远程CVE编号：漏洞来源：ADVtoolsWordPress是一种使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。 WordPress User Photo插件0.9.4和之前版本中的user-photo.php中存在任意文件上传漏洞，该漏洞源于应用程序没有充分验证用户提供的输入。攻击者利用该漏洞在web 阅读全文

摘要： 漏洞名称：Python py-bcrypt Module 安全绕过漏洞CNNVD编号：CNNVD-201303-529发布时间：2013-03-27更新时间：2013-03-27危害等级：中危 漏洞类型：威胁类型：远程CVE编号：CVE-2013-1895Python是一款开放源代码的，面向对象的程序设计语言。 Python py-bcrypt Module中存在安全绕过漏洞，该漏洞源于模块没有正确执行并发的内存访问操作。攻击者利用该漏洞绕过密码检查进而作为其他用户登录。0.2版本中存在漏洞，早期版本也可能受到影响。 目前厂商已经发布了升级补丁以修复此安全... 阅读全文

摘要： 漏洞名称：WordPress IndiaNIC FAQs Manager插件多个SQL注入漏洞CNNVD编号：CNNVD-201303-519发布时间：2013-03-26更新时间：2013-03-26危害等级： 漏洞类型：SQL注入威胁类型：远程CVE编号：漏洞来源：m3tamantraWordPress是一种使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。 WordPress中的IndiaNIC FAQs Manager插件中存在多个SQL注入漏洞。攻击者利用这些漏洞控制应用程序，访问或修改数据，或利用底层数据库中潜在的漏洞。IndiaNIC 阅读全文

摘要： 漏洞名称：Apache mod_ruid2 chroot 安全绕过漏洞CNNVD编号：CNNVD-201303-514发布时间：2013-03-26更新时间：2013-03-26危害等级：中危 漏洞类型：权限许可和访问控制威胁类型：远程CVE编号：CVE-2013-1889Apache是一款流行免费的开放源代码WEB服务器，运行在多种Unix和Linux系统平台下，也可运行于Windows平台下。 mod_ruid2 0.9.8之前的版本中存在安全绕过漏洞，该漏洞源于文件描述符处理不正确。通过CGI脚本，攻击者利用该漏洞引起chroot破坏。 目前厂商已经... 阅读全文

摘要： 漏洞名称：WordPress Banners Lite插件‘wpbanners_show.php’HTML注入漏洞CNNVD编号：CNNVD-201303-504发布时间：2013-03-26更新时间：2013-03-26危害等级： 漏洞类型：威胁类型：远程CVE编号：漏洞来源：Fernando A. Lagos BWordPress是一种使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。 WordPress中的Banners Lite插件中存在HTML注入漏洞，该漏洞源于程序没有正确验证用户提供的输入。攻击者利用该漏洞在受影响浏览器上下文中运行恶意 阅读全文

摘要： Linux Kernel KVM 缓冲区溢出漏洞(CVE-2013-1796)漏洞版本:Linux kernel 3.xLinux kernel 2.6.x漏洞描述:BUGTRAQ ID: 58607CVE(CAN) ID: CVE-2013-1796Linux Kernel是Linux操作系统的内核。在处理MSR_KVM_SYSTEM_TIME时，KVM存在缓冲区溢出漏洞，可造成破坏主机内核内存。<* 参考https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2013-1796*>安全建议:厂商补丁：Linux-----目前厂商已经发布了 阅读全文

摘要： Linux Kernel KVM 拒绝服务漏洞(CVE-2013-1798)漏洞版本:Linux kernel 3.xLinux kernel 2.6.x漏洞描述:BUGTRAQ ID: 58604CVE(CAN) ID: CVE-2013-1798Linux Kernel是Linux操作系统的内核。如果客户端指定了带有无效值的IOAPIC_REG_SELECT，然后读取IOAPIC_REG_WINDOW，KVM就不会正确验证该请求。ioapic_read_indirect包含了ASSERT(redir_index < IOAPIC_NUM_PINS)，但ASSERT在非调试build中 阅读全文