SQL инъекция и выполнение произвольного кода в WordPress
| Дата публикации: | 11.06.2003 |
| Всего просмотров: | 1830 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Несколько уязвимостей обнаружено в WordPress. Удаленный пользователь может выполнить произвольный код на целевом сервере. Удаленный пользователь может внедрить произвольные SQL команды, чтобы получить привилегии администратора на приложении.
Удаленный пользователь может выполнить произвольные команды на целевом сервере, используя сценарий '/wp-links/links.all.php', определяя удаленное местоположение для $$abspath переменной. PHP код, расположенный на удаленном сервере, будет выполнен на целевом сервере с привилегиями Web сервера. Также сообщается, что удаленный пользователь может внедрить SQL команды через переменную $$posts в сценарии '/blog.header.php'. Удаленный пользователь может получить административные привилегии на приложении. Уязвимость обнаружена в WordPress 0.7 Способов устранения обнаруженной уязвимости не существует в настоящее время. |
| Ссылки: | WordPress 0.7 vulnerability |