摘要:
漏洞名称:WordPress Attack Scanner插件多个信息泄露漏洞CNNVD编号:CNNVD-201302-092发布时间:2013-02-06更新时间:2013-02-06危害等级: 漏洞类型:信息泄露威胁类型:远程CVE编号:漏洞来源:MustLiveWordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。 WordPress中的Attack Scanner插件中存在多个信息泄露漏洞,这些漏洞源于程序没有正确限制访问权限。攻击者利用这些漏洞获得敏感信息有助于进一步攻击。 目前厂商... 阅读全文
摘要:
漏洞名称:WordPress yolink Search插件‘s’参数跨站脚本漏洞CNNVD编号:CNNVD-201302-073发布时间:2013-02-05更新时间:2013-02-05危害等级:漏洞类型:跨站脚本威胁类型:远程CVE编号:WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。WordPress中的yolink Search插件2.5和早期版本中存在跨站脚本漏洞,该漏洞源于没有充分验证用户提供的输入。攻击者利用该漏洞在受影响站点上下文中不知情用户浏览器上执行任意脚本代码。可窃取基于cookie认证证书进而发起其 阅读全文
摘要:
漏洞版本:Nagios XI 2012R1.5b漏洞描述:Bugtraq ID:57672Nagios是一款免费开放源代码的主机和服务监视软件Nagios存在多个安全漏洞,包括:-Alert Cloud组件存在反射型跨站脚本漏洞,可获得敏感信息或劫持用户会话。-Nagios QL存在存储型跨站脚本漏洞,可获得敏感信息或劫持用户会话。-Autodiscovery没有正确过滤输入,允许攻击者提交恶意作业执行任意代码。-'admin/commandline.php'脚本不正确过滤用户提交的参数,允许攻击者利用漏洞注入任意SQL。-Nagios QL存在跨站请求伪造漏洞,允许攻击者利用 阅读全文
摘要:
漏洞名称:WordPress Poll插件多个SQL注入漏洞CNNVD编号:CNNVD-201301-626发布时间:2013-02-04更新时间:2013-02-04危害等级: 漏洞类型:SQL注入威胁类型:远程CVE编号:漏洞来源:Marcela Benetrix and SVN commit.WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。 WordPress中的WordPress Poll插件中存在多个SQL注入漏洞。攻击者利用这些漏洞控制应用程序,访问或修改数据,或利用底层数据库中潜在的漏洞。 ... 阅读全文
摘要:
漏洞名称:WordPress Simple History Plugin RSS Feed 信息泄露漏洞CNNVD编号:CNNVD-201301-628发布时间:2013-02-04更新时间:2013-02-04危害等级: 漏洞类型:信息泄露威胁类型:远程CVE编号:WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。 WordPress中的Simple History插件中存在信息泄露漏洞。攻击者利用该漏洞获得敏感信息如激活插件,新用户和未发表的帖子,获得的信息有助于进一步攻击。Simple History 1.0.7版本中存 阅读全文
摘要:
漏洞名称:WordPress Poll插件跨站请求伪造漏洞CNNVD编号:CNNVD-201301-629发布时间:2013-02-04更新时间:2013-02-04危害等级: 漏洞类型:跨站请求伪造威胁类型:远程CVE编号:漏洞来源:Marcela BenetrixWordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。 WordPress中的WordPress Poll插件中存在跨站请求伪造漏洞,该漏洞源于应用程序没有正确验证HTTP请求。远程攻击者利用该漏洞执行某些未授权操作并获得访问到受影响应用程序的权限,也可能存在其他攻击 阅读全文
摘要:
漏洞版本:Microsoft Internet Explorer 9Microsoft Internet Explorer 8漏洞描述:Bugtraq ID:57641CVE ID: CVE-2013-1451Microsoft Internet Explorer是一款流行的WEB浏览器。在Microsoft Internet Explorer代理服务设置中,如果HTTP和Secure栏中具有相同代理地址和端口,IE没有确保SSL锁定图标与地址栏一致,通过特制的HTML文档触发多个任意主机的HTTPS请求,随后提交一个可信主机的HTTPS请求,再向不可信主机发送一个HTTP请求,可欺骗WEB站 阅读全文
摘要:
漏洞版本:Python 2.5.2及之前版本漏洞描述:Bugtraq ID:28749CVE ID: CVE-2008-1887Python是一款开放源代码的脚本编程语言。Python存在缓冲区溢出,允许上下文独立的攻击者向 PyString_FromStringAndSiz函数提交负大小的值触发。当assert()禁用时会分配过小的内存而触发缓冲区溢出。<* 参考http://bugs.python.org/issue2587*> 阅读全文
摘要:
漏洞版本:Python 2.2.3 - 2.5.1Python 2.6漏洞描述:Bugtraq ID:33187CVE ID: CVE-2008-5031Python是一款开放源代码的脚本编程语言。Python存在多个整数溢出,允许上下文独立的攻击者向expandtabs方法提交包含超大整数值的tabsize参数触发。其中Objects/stringobject.c中的string_expandtabs函数和Objects/unicodeobject.c中的unicode_expandtabs函数实现受此漏洞影响。<* 参考http://www.openwall.com/lists/os 阅读全文
摘要:
漏洞版本:WordPress Gallery Plugin 1.x漏洞描述:Bugtraq ID:57650CVE ID: CVE-2012-4919WordPress Gallery是一款用于Wordpress的图库插件。通过"load"参数提交给wp-content/plugins/wordpress-gallery/functions/update_order.ph的输入在用于包含文件之前缺少校验,允许攻击者利用漏洞包含远程文件,并以WEB权限执行任意代码。<* 参考http://secunia.com/advisories/51347/*> 阅读全文