WordPress下载监控插件id参数SQL注入漏洞

漏洞信息详情

WordPress下载监控插件id参数SQL注入漏洞

• CNNVD编号：CNNVD-200804-451
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2008-2034
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2008-04-30
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2008-09-05
  
• 厂        商：
  
  wordpress
• 漏洞来源：
  Dino CovotsosCharl…

WordPress是一款免费的论坛Blog系统。

WordPress中的下载监控插件wp-download_monitor/download.php没有正确地过滤对id参数的输入便在SQL查询中使用，远程攻击者通过操控SQL查询任意SQL指令。

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://wordpress.org/extend/plugins/download-monitor/

来源: SECUNIA

名称: 29876

链接:http://secunia.com/advisories/29876

来源: XF

名称: downloadmonitor-id-sql-injection(42094)

链接:http://xforce.iss.net/xforce/xfdb/42094

来源: BID

名称: 28975

链接:http://www.securityfocus.com/bid/28975