您的位置: 首页  >> 最新漏洞 >> 阅读资讯：WordPress WassUp Plugin "to_date" SQL注入

WordPress WassUp Plugin "to_date" SQL注入

[ 作者：secunia.com | 更新日期:2008-2-13 10:13:19 | 阅读次数： ]

WordPress WassUp Plugin "to_date" SQL注入

来源

secunia.com

软件名

WassUp 1.x (plugin for WordPress)

描述

这可恶意进行SQL注入攻击
传递到spy.php的"to_date"参数在用于sql查询前没有被准确过滤，这可通过注入任意sql代码导致操控sql查询

执行成功允许收回用户和管理员的用户名和密码hash值，但是需要数据库表格字首方面的知识

该漏洞在V1.4-1.4.3中已经报告，其它版本也可能受到影响

解决方案

更新到V1.4.3a.
http://wordpress.org/extend/plugins/wassup/

www.newjian.com

Tags：WordPress WassUp Plugin "to_date" SQL注入

来源：secunia.com

上一篇：Drupal Comment Upload Module上传文件时的问题下一篇：Drupal Userpoints Module跨站点请求伪造攻击

您的评论

·用户发表意见仅代表其个人意见，并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯，提倡就事论事，杜绝漫骂和人身攻击等不文明行为

您的位置: 首页  >> 最新漏洞 >> 阅读资讯：WordPress WassUp Plugin "to_date" SQL注入

WordPress WassUp Plugin "to_date" SQL注入

Tags：WordPress WassUp Plugin "to_date" SQL注入

您的评论

热点资讯

精彩推荐

最新资讯

随机推荐