WordPress ENL Newsletter插件SQL注入漏洞

漏洞信息详情

WordPress ENL Newsletter插件SQL注入漏洞

• CNNVD编号：CNNVD-201407-290
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-4939
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2014-07-14
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-07-14
  
• 厂        商：
  
  enl_newsletter_plugin_project
• 漏洞来源：

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站。ENL Newsletter（enl-newsletter）是其中的一个时事通讯插件。

WordPress ENL Newsletter插件1.0.1版本中存在SQL注入漏洞，该漏洞源于wp-admin/admin.php脚本没有充分过滤enl-add-new页面中的‘id’参数。远程攻击者可利用该漏洞执行任意SQL命令。

据厂商提供的信息，该插件已停止更新，相关信息请随时关注厂商主页：

http://wordpress.org/plugins/enl-newsletter/

来源:codevigilant.com

链接:http://codevigilant.com/disclosure/wp-plugin-enl-newsletter-a1-injection/