WordPress ’wp-includes/general-template.php‘ WP_Title函数跨站脚本漏洞

漏洞信息详情

WordPress ’wp-includes/general-template.php‘ WP_Title函数跨站脚本漏洞

• CNNVD编号：CNNVD-200704-106
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2007-1894
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2007-04-09
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-04-10
  
• 厂        商：
  
  wordpress
• 漏洞来源：
  g30rg3_x is credit…

WordPress是一套用于艺术类的Web出版发布系统。

WordPress的wp-includes/general-template.php中存在跨站脚本攻击漏洞。远程攻击者可以借助wp_title函数中的年参数，注入任意的web脚本或HTML。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

WordPress WordPress 2.2 Revision 5002

WordPress latest.zip

http://wordpress.org/latest.zip

来源: BID

名称: 22902

链接:http://www.securityfocus.com/bid/22902

来源: SECUNIA

名称: 24485

链接:http://secunia.com/advisories/24485

来源: BUGTRAQ

名称: 20070309 WordPress XSS under function wp_title()

链接:http://www.securityfocus.com/archive/1/archive/1/462374/100/0/threaded

来源: trac.wordpress.org

链接:http://trac.wordpress.org/ticket/4093

来源: trac.wordpress.org

链接:http://trac.wordpress.org/changeset/5003

来源: MISC

链接:http://chxsecurity.org/advisories/adv-1-mid.txt

来源: DEBIAN

名称: DSA-1285

链接:http://www.debian.org/security/2007/dsa-1285

来源: SREASON

名称: 2526

链接:http://securityreason.com/securityalert/2526

来源: SECUNIA

名称: 25108

链接:http://secunia.com/advisories/25108