WordPress2.9.2跨站漏洞

2010-03-18T00:00:00
ID SSV:19285
Type seebug
Reporter Root
Modified 2010-03-18T00:00:00

Description

北洋贱队(http://bbs.seceye.org)2010-03-17首发

WordPress是一种使用PHP语言开发的平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志平台。 wordpress2.9.2在使用管理员模式发表新文章或者回复的地方,插入跨站语句可导致触发跨站脚本攻击。

1.发表新文章在标题处插入如: seceye<iframe src=http://www.gohack.org>即可导致跨站。

2.demo:http://www.miao.la/2010/02/%e7%99%be%e5%ba%a6%e5%a8%98%e7%9f%a5%e9%81%93%e7%9a%84%e5%a4%aa%e5%a4%9a%e4%ba%86/ 感谢贱队老大MIAO提供他博客供测试。 另WP2.9.2版本存在爆路径的bug,忘各位使用wp的朋友注意安全。

WordPress2.9.2 等待官方翻墙进来发现此信息出升级补丁

                                        
                                            
                                                seceye&lt;iframe src=http://www.gohack.org&gt;