WordPress Jetpack插件权限许可和访问控制漏洞

漏洞信息详情

WordPress Jetpack插件权限许可和访问控制漏洞

• CNNVD编号：CNNVD-201404-430
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-0173
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2014-04-23
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-04-23
  
• 厂        商：
  
  automattic
• 漏洞来源：

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站。Jetpack是其中的一个包含有社交分享、社交登录和社交评论等多种功能的插件包。

WordPress Jetpack插件存在安全漏洞，该漏洞源于程序没有正确限制对XML-RPC服务的访问。远程攻击者可利用该漏洞绕过既定的限制，发布帖子。以下版本受到影响：Jetpack插件1.9.4之前的1.9版本，2.0.9之前的2.0.x版本，.1.4之前的2.1.x版本，2.2.7之前的2.2.x版本，2.3.7之前的2.3.x版本，2.4.4之前的2.4.x版本，2.5.2之前的2.5.x版本，2.6.3之前的2.6.x版本，2.7.2之前的2.7.x版本，2.8.2之前的2.8.x版本，2.9.3之前的2.9.x版本。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://jetpack.me/2014/04/10/jetpack-security-update/

来源:jetpack.me

链接:http://jetpack.me/2014/04/10/jetpack-security-update/

来源:XF

名称:jetpack-wordpress-cve20140173-sec-bypass(92560)

链接:http://xforce.iss.net/xforce/xfdb/92560

来源:SECUNIA

名称:57729

链接:http://secunia.com/advisories/57729

来源:BID

名称:66789

链接:http://www.securityfocus.com/bid/66789

来源:SECUNIA

名称:57729

链接:http://secunia.com/advisories/57729