WordPress Gallery Objects插件‘admin-ajax.php’SQL注入漏洞

漏洞信息详情

WordPress Gallery Objects插件‘admin-ajax.php’SQL注入漏洞

• CNNVD编号：CNNVD-201407-541
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2014-5201
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2014-07-23
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-08-13
  
• 厂        商：
  
  gallery_objects_project
• 漏洞来源：
  Claudio Viviani

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站。Gallery Objects是其中的一个可定制的相册插件。

WordPress Gallery Objects插件0.4版本中存在SQL注入漏洞，该漏洞源于程序执行go_view_object操作时，wp-admin/admin-ajax.php脚本没有充分过滤‘viewid’参数。远程攻击者可利用该漏洞执行任意SQL命令。

据厂商提供的信息，该插件已停止更新，相关信息请随时关注厂商主页：

http://wordpress.org/plugins/gallery-objects/

来源:packetstormsecurity.com

链接:http://packetstormsecurity.com/files/127533/WordPress-Gallery-Objects-0.4-SQL-Injection.html

来源:www.homelab.it

链接:http://www.homelab.it/index.php/2014/07/18/wordpress-gallery-objects-0-4-sql-injection/#sthash.ftMVwBVK.dpbs

来源: BID

链接:http://www.securityfocus.com/bid/68791