WordPress MyWebsiteAdvisor Simple Security插件跨站脚本漏洞
| CNNVD-ID编号 | CNNVD-201501-307 | CVE编号 | CVE-2014-9570 |
| 发布时间 | 2015-01-15 | 更新时间 | 2015-01-16 |
| 漏洞类型 | 跨站脚本 | 漏洞来源 | High-Tech Bridge Security Research Lab |
| 危险等级 | 中危 | 威胁类型 | 远程 |
| 厂商 | mywebsiteadvisor | ||
漏洞介绍
WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。MyWebsiteAdvisor Simple Security是其中的一个可通过访问日志跟踪登录和失败登录尝试的插件。
WordPress MyWebsiteAdvisor Simple Security插件1.1.5及之前版本中存在跨站脚本漏洞,该漏洞源于wp-admin/users.php脚本没有充分过滤access_log页面中的‘datefilter’参数;wp-admin/users.php脚本没有充分过滤ip_blacklist页面中的‘simple_security_ip_blacklist[]’参数。远程攻击者可利用该漏洞注入任意Web脚本或HTML。
漏洞补丁
目前厂商暂未发布修复措施解决此安全问题,使用此软件的用户可参考非厂商提供的临时修复措施(仅供参考)或随时关注厂商主页以获取最终解决办法:
https://wordpress.org/
High-Tech Bridge Security Research Lab提供的临时修复措施(仅供参考):
https://www.htbridge.com/advisory/HTB23244-patch.zip
参考网址
来源:www.htbridge.com
链接:https://www.htbridge.com/advisory/HTB23244
来源:BUGTRAQ
链接:http://www.securityfocus.com/archive/1/archive/1/534477/100/0/threaded
受影响实体
Mywebsiteadvisor Simple_security:1.1.5:~~~Wordpress~~信息来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201501-307
评论