WordPress MailPoet插件inside /wp-content/uploads/wysija/themes/mailp/后门漏洞(CNVD-2014-04690)
CVE编号
N/A利用情况
暂无补丁情况
N/A披露时间
2014-07-29漏洞描述
MailPoet是适用于WordPress站点的新闻简报、自动回复插件。MailPoet没有有效过滤用户上传的内容,在实现上存在恶意注入漏洞。攻击者可访问该插件的后门/wp-content/uploads/wysija/themes/mailp/MailPoet,注入恶意内容,创建名为1001001的管理员,注入后门代码到所有的theme/core文件,覆盖文件,完全控制受影响站点。解决建议
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://blog.sucuri.net/2014/07/mailpoet-vulnerability-exploited-in-the-wild-breaking-thousands-of-wordpress-sites.html
参考链接 |
|
|---|---|
| https://www.cnvd.org.cn/flaw/show/CNVD-2014-04690 |
- 攻击路径 网络
- 攻击复杂度 N/A
- 权限要求 无
- 影响范围 N/A
- 用户交互 N/A
- 可用性 部分地
- 保密性 部分地
- 完整性 部分地
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论