WordPress是一款免费的论坛Blog系统。WordPress中的下载监控插件wp-download_monitor/download.php没有正确地过滤对id参数的输入便在SQL查询中使用，这允许远程攻击者通过操控SQL查询执行SQL注入攻击。

　　发布日期：2008-04-28

　　更新日期：2008-04-30

　　受影响系统：

　　WordPress Download Monitor 2.0.6

　　描述：

　　BUGTRAQ ID: 28975

　　WordPress是一款免费的论坛Blog系统。

　　WordPress中的下载监控插件wp-download_monitor/download.php没有正确地过滤对id参数的输入便在SQL查询中使用，这允许远程攻击者通过操控SQL查询执行SQL注入攻击。

　　（来源：Dino Covotsos
　　作者：Charlton Smith
　　链接：http://secunia.com/advisories/29876/）
　　
　　建议：

　　厂商补丁：

　　WordPress

　　目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

　　http://wordpress.org/extend/plugins/download-monitor/

关注度: 1%

浏览次数:1

SQL注入漏洞, WordPress

此条发布在 星期一, 05月 5th, 2008 at 10:35 am 漏洞播报. 您可以通过 RSS 2.0 获得最新评论. 您可以到文章末尾留言。