WordPress Advanced Dewplayer插件‘download-file.php’脚本目录遍历漏洞-一一网

WordPress Advanced Dewplayer插件‘download-file.php’脚本目录遍历漏洞

4年前更新

1210

漏洞信息详情

WordPress Advanced Dewplayer插件‘download-file.php’脚本目录遍历漏洞

CNNVD编号：CNNVD-201401-024

危害等级：中危
CVE编号：
CVE-2013-7240
漏洞类型：

路径遍历
发布时间：

2013-12-30
威胁类型：

远程
更新时间：

2014-01-06
厂商：

westerndeal
漏洞来源：
Henri Salo

漏洞简介

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站。Advanced Dewplayer是其中的一个允许从单一服务器中获取网站或博客中的MP3列表的插件。

WordPress的Advanced Dewplayer插件1.2版本中的download-file.php脚本中存在目录遍历漏洞。远程攻击者可借助dew_file参数中的目录遍历字符（‘..’）利用该漏洞读取任意文件。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：
https://wordpress.org/support/topic/security-vulnerability-cve-2013-7240-directory-traversal/

参考网址

来源: BID

名称: 64587

链接:http://www.securityfocus.com/bid/64587

来源: wordpress.org

链接:http://wordpress.org/support/topic/security-vulnerability-cve-2013-7240-directory-traversal

来源: MLIST

名称: [oss-security] 20131230 Re: CVE-request: Dewplayer issues

链接:http://seclists.org/oss-sec/2013/q4/570

来源: MLIST

名称: [oss-security] 20131230 CVE-request: Dewplayer issues

链接:http://seclists.org/oss-sec/2013/q4/566

来源:SECUNIA

名称:55941

链接:http://secunia.com/advisories/55941

受影响实体

Westerndeal Advanced_dewplayer:1.2

© 版权声明

文章版权归作者所有，未经允许请勿转载。

THE END

喜欢就支持一下吧

相关推荐