WordPress WassUp插件spy.php脚本远程SQL注入漏洞
BUGTRAQ ID: 27525 WordPress是一款免费的论坛Blog系统。 WordPress的WassUp插件存在输入验证漏洞,远程攻击者可能利用此漏洞执行SQL注入攻击。 WordPress的WassUp插件中spy.php文件没有正确地验证对todate参数的输入: if isset$GET'todate' $todate = htmlentitiesstriptags$GET'todate'; ........... spyview$fromdate,$todate,$rows; -In main.php function spyview...