WordPress是一款免费的论坛Blog系统。WordPress中所使用的Upload File插件中wp-uploadfile.php文件没有验证某些用户所提交的参数，远程攻击者可以向该插件提交恶意请求执行SQL注入攻击。

　　发布日期：2008-05-24

　　更新日期：2008-05-26

　　受影响系统：

　　WordPress WordPress

　　描述：

　　BUGTRAQ ID: 29352

　　WordPress是一款免费的论坛Blog系统。

　　WordPress中所使用的Upload File插件中wp-uploadfile.php文件没有验证某些用户所提交的参数，远程攻击者可以向该插件提交恶意请求执行SQL注入攻击。

　　厂商补丁：

　　目前WordPress还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

　　http://wordpress.org/

• 2008-05-05WordPress下载监控插件id参数SQL注入漏洞
• 2008-11-10WordPress博客系统遇“李鬼” 被植木马
• 2008-05-22WordPress Write 标签任意文件上传漏洞