WordPress Mingle Forum插件多个SQL注入漏洞

漏洞信息详情

WordPress Mingle Forum插件多个SQL注入漏洞

• CNNVD编号：CNNVD-201210-090
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-5327
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2012-10-12
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-10-12
  
• 厂        商：
  
  cartpauj
• 漏洞来源：

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。

WordPress中的Mingle Forum插件1.0.33之前的1.0.32.1版本中的fs-admin/fs-admin.php中存在多个SQL注入漏洞。远程验证的攻击者可利用这些漏洞通过(1)delete_usergroups操作中的delete_usrgrp[]参数(2)add_user_togroup操作中的usergroup参数或 (3)add_forum_submit操作中的add_forum_group_id参数，执行任意SQL命令。

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://wordpress.org/extend/plugins/mingle-forum/changelog/

来源: XF

名称: mingleforum-admin-sql-injection(72641)

链接:http://xforce.iss.net/xforce/xfdb/72641

来源: wordpress.org

链接:http://wordpress.org/extend/plugins/mingle-forum/changelog/

来源: plugins.trac.wordpress.org

链接:http://plugins.trac.wordpress.org/changeset?reponame=&new=492859@mingle-forum&old=487353@mingle-forum

来源: packetstormsecurity.org

链接:http://packetstormsecurity.org/files/view/108915/wpmingleforum-sqlxss.txt