Lucene search
K
Database
Vendors
Products
Years
CVSS
Scanner
Agent Scanning
API Scanning
Manual Audit
Perimeter Scanner
Scanning
Projects
Email
Webhook
Plugins
Resources
Documents
Blog
Glossary
FAQ
Pricing
Contacts
About Us
Partners
Branding Guideline
seebugRootSSV:1899
HistoryJun 21, 2007 - 12:00 a.m.

WordPress自动统计模块Referer字段HTML注入漏洞

2007-06-2100:00:00
Root
www.seebug.org
28
JSON

WordPress是一款基于WEB的BLOG系统。

基于WordPress上的自动统计模块不正确处理用户提交的输入,远程攻击者可以利用漏洞进行HTML注入攻击,获得敏感信息。

问题是由于不正确过滤用户生成的HTTP头字段中的Referer参数数据,提交恶意的HTTP数据,并诱使用户访问,可导致获得目标用户敏感信息。

Skeltoac Automattic Stats 1.0
可联系供应商获得补丁信息:

<a href=“http://wordpress.org/extend/plugins/stats/” target=“_blank”>http://wordpress.org/extend/plugins/stats/</a>


                                                GET&nbsp;http://www.somewpblog.com/&nbsp;HTTP/1.1
Host:www.siteofblogger.com
User-Agent:Mozilla/5.0&nbsp;(Windows;&nbsp;U;&nbsp;Windows&nbsp;NT&nbsp;5.0;&nbsp;it;&nbsp;rv:1.8.1.3)
Gecko/20070309&nbsp;Firefox/2.0.0.3
Accept
JSON