WordPress AdRotate插件'clicktracker.php'SQL注入漏洞

2014-02-24T00:00:00
ID SSV:61533
Type seebug
Reporter Root
Modified 2014-02-24T00:00:00

Description

BUGTRAQ ID: 65709 CVE(CAN) ID: CVE-2014-1854

AdRotate是网站广告管理插件。

AdRotate 3.9.4及其他版本没有有效验证"/wp-content/plugins/adrotate/library/clicktracker.php"脚本的"track" HTTP GET参数值,未经身份验证的远程攻击者可利用此漏洞在应用的数据库内执行任意SQL命令。 0 WordPress AdRotate < 3.9.4 厂商补丁:

WordPress

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://wordpress.org/plugins/adrotate/

                                        
                                            
                                                http://www.example.com/wp-content/plugins/adrotate/library/clicktracker.php?track=[SQL Injection]