WordPress $_SERVER变量跨站脚本漏洞

BUGTRAQ ID: 26885 WordPress是一款免费的论坛Blog系统。 WordPress处理全局变量时存在漏洞，远程攻击者可能利用此漏洞控制导致跨站脚本执行攻击。 WordPress信任了$SERVER'REQUESTURI'全局变量，因此远程攻击者控制了$SERVER'REQUESTURI'就可以执行跨站脚本攻击。以下是/wp-includes/query.php文件中第34行的有漏洞函数： function isadmin global $wpquery; return $wpquery-isadmin || stripos$SERVER'REQUESTURI',...