Wordpress Template.PHP HTML注入漏洞

Wordpress是一款基于PHP的网络日记程序。

Wordpress不正确过滤用户提交的输入，远程攻击者可以利用漏洞进行跨站脚本攻击，获得敏感信息。

问题是’Template.PHP’脚本对用户提交的WEB参数缺少过滤，提交恶意脚本代码作为参数数据，并诱使用户访问，可导致恶意脚本在目标用户浏览器上执行获得敏感信息。

WordPress Wordpress (B2) 0.6.2 .1
WordPress Wordpress (B2) 0.6.2
WordPress WordPress 2.0.5
WordPress WordPress 2.0.4
WordPress WordPress 2.0.3
WordPress WordPress 2.0.2
WordPress WordPress 2.0.1
WordPress WordPress 2.0
WordPress WordPress 1.5.2
WordPress WordPress 1.5.1 .3
WordPress WordPress 1.5.1 .2
WordPress WordPress 1.5.1
WordPress WordPress 1.5
WordPress WordPress 1.2.2
WordPress WordPress 1.2.1

• Gentoo Linux
  WordPress WordPress 1.2
• Gentoo Linux 1.4
• Gentoo Linux
  WordPress WordPress 0.71
  WordPress WordPress 0.7

可参考如下链接获得最新的程序：

<a href=“http://trac.wordpress.org/changeset/4665” target=“_blank”>http://trac.wordpress.org/changeset/4665</a>