Уязвимости
Уязвимость в плагине Wordpress Spreadsheet 0.6
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «ss_id» сценарием ss_load.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Эксплоит:
http://site.com/wp-content/plugins/wpSS/ss_load.php?ss_id=1+and+ (1=0)+union+select+1,concat(user_login,0×3a,user_pass,0×3a,user_email), 3,4+from+wp_users–&display=plain
Уязвимости в плагинах wp-people, Simple Forum, WP Photo Album, Search Unleashed, Sniplets
Очередная порция уязвимостей в нескольких плагинах WordPress. Если Вы используете какие-то из этих плагинов, рекомендую отключить их, до выхода новых версий плагинов с исправлениями уязвимостей.
WP People <= 1.6 уязвимость SQL иньекция. Параметр person некорректно фильтруется. Это может быть использовано для нарушения работы базы данных WordPress блога.
Simple Forum < 2.1 (Build 237) Параметры Forum и Topic […]
Уязвимость плагина WP-Photo-Album
Найдена уязвимость в плагине WP-Photo-Album, позволяющая злоумышленнику, делать удаленные запросы к MySQL базе данных блога.
Рекомендуется отключить плагин, до выхода исправлений.
Уязвимости в плагинах dmsguestbook, st_newsletter, Wordspew, wp-footnotes
В плагине dmsguestbook 1.7.0 найдено несколько уязвимостей. Одна из них позволяет подменить ваш wp-config.php файл, таким образом злоумышленник может получить доступ к информации в вашей базе данных. Это связанно с плохой проверкой параметров папки/файла. Кроме этой, в плагине присутствуют еще несколько критических XSS уязвимостей.
Настоятельно рекомендуется отключить и временно не использовать этот плагин, до выхода исправлений.
Сейчас […]
Уязвимости в плагинах wp-calc и wp-adserv
WebLogTools сообщают о двух новых уязвимостях, найденных в WordPress плагинах:
Сегодня найдена уязвимость SQL Иньекции в WordPress плагине WP-Cal версий 0.х
Человек который называет себя “enter_the_dragon” сообщил об уязвимости в WordPress плагине Adserve Plugin version 0.2.
Подробности читайте на сайте WebLogTools
Для устранения уязвимости в плагинe AdServe скачайте и установите, новую версию плагина.

