中琅软件教程网

首页搜索登录
首页业界网页平面多媒体程序数据库办公工具服务器系统网络安全站长认证壁纸
加入收藏 | 网站地图 | | RSS | WAP
你好,游客 登录 注册 搜索

WordPress wpSS 插件含 ss_id 参数 SQL 注入漏洞

[日期:2008-04-29] 作者: 来源: [字体: ]

受影响系统
wordPress wpsS <= 0.6 v

不受影响系统:
WordPress wpSS 0.62

描述:
wpSS是WordPress中所使用的电子表格插件,允许在WordPress博客中嵌入交互式的电子表格。

wpSS插件的wpSS/ss_load.PHP文件中没有正确地过滤对ss_id参数的数便用在了SQL查询中:

ss_load.php
    $id = $_GET['ss_id'];
....
ss_functions.php:
function ss_load ($id, $plain=FALSE) {
....
    if ($wpdb->query("SELECT * FROM $table_name WHERE id='$id'") == 0) {
....

这允许远程攻击者通过注入任意SQL代码操控SQL查询,导致执行任意代码。

厂商补丁:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载

http://timrohrer.com/blog/?page_id=71

关键词:WPS 

收藏 推荐 打印 | 录入:blue1000 | 阅读:
最新图文
本文评论   查看全部评论 (2)
表情: 姓名: 字数
点评:
       
评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事/刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款
第 2 楼
* 匿名 发表于 2016/12/31 16:17:15
http://www.blue1000.com/bkhtml/c97/2008-04/56750.htm 开学新计划作文 http://www.135995.com/show/11009.html 2017年度残联工作计划 http://www.135995.com/show/12833.html
第 1 楼
* 匿名 发表于 2016/12/24 17:00:45
http://www.blue1000.com/bkhtml/c97/2008-04/56750.htm 2017年初中教师教学工作计划 http://www.135995.com/show/12284.html 2017年小学教师教学工作计划 http://www.135995.com/show/12282.html