WordPress Mingle Forum插件多个SQL注入漏洞

漏洞信息详情

WordPress Mingle Forum插件多个SQL注入漏洞

• CNNVD编号：CNNVD-201210-091
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-5328
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2012-10-12
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2013-01-09
  
• 厂        商：
  
  cartpauj
• 漏洞来源：

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。

WordPress中的Mingle Forum插件1.0.33之前的1.0.32.1版本中存在多个SQL注入漏洞。远程认证攻击者可利用这些漏洞通过removemember操作中的(1)memberid或(2)groupid参数或(3)fs-admin/fs-admin.php中的id参数或(4)fs-admin/wpf-edit-forum-group.php脚本中edit_save_forum操作中的edit_forum_id参数，执行任意SQL命令。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://wordpress.org/extend/plugins/mingle-forum/changelog/

来源: wordpress.org

链接:http://wordpress.org/extend/plugins/mingle-forum/changelog/

来源: plugins.trac.wordpress.org

链接:http://plugins.trac.wordpress.org/changeset?reponame=&new=492859@mingle-forum&old=487353@mingle-forum