WordPress cformsII插件rs和rsargs参数脚本注入漏洞

发布时间:2010-11-01
影响版本:Nicole Stich cformsII 11.5
漏洞描述:WordPress是一款免费的论坛Blog系统。

WordPress所使用的cformsII插件没有正确的过滤用户提交给wp-content/plugins/cforms /lib_ajax.php页面的rs和rsargs参数便显示给了用户。攻击者可以通过提交恶意的POST请求来利用这个漏洞,当用户查看生成页面时就会导致执行所注入的代码。

参考:
http://secunia.com/advisories/42006/
http://www.conviso.com.br/security-advisory-cform-wordpress-plugin-v-11-cve-2010-3977/

测试方法:
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

安全建议:

厂商补丁:

Nicole Stich
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.deliciousdays.com/cforms-plugin/