WordPress Audio Player插件跨站脚本漏洞

最新推荐文章于 2024-09-01 02:07:48 发布
最新推荐文章于 2024-09-01 02:07:48 发布
阅读量120 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/security4399/archive/2013/02/18/2915464.html
版权

漏洞名称:WordPress Audio Player插件跨站脚本漏洞
CNNVD编号:CNNVD-201302-146
发布时间:2013-02-18
更新时间:2013-02-18
危害等级:中危  中危
漏洞类型:跨站脚本
威胁类型:远程
CVE编号:CVE-2013-1464

Audio Player是一款MP3播放器,使用了最新的 MPEG 编码程序,播放速度快,占用系统资源少,包含一个功能很强大的播放列表编辑器。
        WordPress平台上的Audio Player插件2.0.4.6之前版本中的ssets/player.swf中存在跨站脚本漏洞。远程攻击者可通过playerID参数利用该漏洞注入任意网页脚本或HTML代码。

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
        http://wordpress.org/extend/plugins/audio-player/changelog/

来源: wordpress.org
链接:http://wordpress.org/extend/plugins/audio-player/changelog/


来源: insight-labs.org
链接:http://insight-labs.org/?p=738


来源:SECUNIA
名称:52083
链接:http://secunia.com/advisories/52083

转载于:https://www.cnblogs.com/security4399/archive/2013/02/18/2915464.html

weixin_30752699
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iOS:iOS开发非常全的三方库、插件等等
dienangpiao2051的博客
09-23 7250
iOS开发非常全的三方库、插件等等 github排名:https://github.com/trending, github搜索:https://github.com/search. 此文章转自github:https://github.com/Tim9Liu9/TimLiu-iOS 一、UI 下拉刷新 EGOTableViewPullRefresh- 最早...
jquery 音频播放_10个jQuery HTML5音频播放器
05-08 636
jquery 音频播放 根据Buzz Angle Music的数据 ,仅在美国,2017年第一季度就消费了830亿个音频流。这比上一季度增长了61.2%。 同时,音乐销量下降了23.8%。 2017年5月8日:此热门文章已更新,以反映当前可用的音频播放器和插件。 流式传输的优点之一是,观众可以欣赏自己喜欢的音乐和在线广播,而不必担心设备上的存储空间。 随着负担得起的Internet的普及使...
修复swfupload2.5版存在的XSS跨站攻击漏洞
10-08
修复swfupload2.5版存在的XSS跨站攻击漏洞,测试无错误版本。
WordPress mb.miniAudioPlayer插件多个跨站脚本漏洞
weixin_30908103的博客
09-26 119
漏洞名称: WordPress mb.miniAudioPlayer插件多个跨站脚本漏洞 CNNVD编号: CNNVD-201309-469 发布时间: 2013-09-26 更新时间: 2013-09-26 危害等级: 漏洞类型: 跨站脚本 威胁类型: 远程 CVE编号:...
SCANV团队:警惕DiscuzX mp3player.swf跨站脚本漏洞
u013115619的专栏
12-25 871
近日SCANV团队接到某站长反馈:“最新安装DzX系统被扫描报告mp3player.swf存在跨站脚本漏洞”。经分析测试发现该漏洞确实存在并影响到最新Discuz X3.1及以下版本,我们现已报告给官方。由于该漏洞细节早被曝光,可临时删除/static/image/common/mp3player.swf。
解析Flash跨站脚本攻击
dodream的专栏
11-06 1976
 Flash跨站攻击是当下比较流行的跨站攻击手段,且没有很好的预防办法。在它的淫威下有多少网站倒下了,站长们对此叫苦不迭。下面我们就看看Flash跨站脚本攻击到底是如何实现的,知己知彼,然后找到应对措施。      虚拟机部署如下测试环境:      操作系统:windows 2003web服务器:IIS6.0  论坛:动网Version 7.1.0 Sp1 工具   
Wordpress 音频播放器 Wordpress audio player with jQuery
05-27
3. **集成插件** - 将"jquery_audio_player"解压并上传到WordPress的主题文件夹,通常在`wp-content/themes/your-theme-name/js`目录下。然后,在functions.php文件中使用`wp_enqueue_script()`加载JavaScript文件,...
tts文字转语音_最佳文字转语音(TTS)软件程序和在线工具
culiyuan8310的博客
09-22 5182
tts文字转语音Text to Speech (TTS) software allows you to have text read aloud to you. This is useful for struggling readers and for writers, when editing and revising their work. You can also convert eBook...
[转]高负载并发网站架构分析
热门推荐
bluehire的专栏
12-23 2万+
由于自己正在做一个高性能大用户量的论坛程序,对高性能高并发服务器架构比较感兴趣,于是在网上收集了不少这方面的资料和大家分享。希望能和大家交流 msn: defender_ios@hotmail.com ——————————————————————————————————————— ? 初创网站与开源软件 6 ? 谈谈大型高负载网站服务器的优化心得! 8 ? Lighttpd+Squid+Apach
一道关于php文件包含的CTF题
m0_62903168的博客
08-27 3497
这是index.php的页面。点击login后会发现url里多了action的参数,那么我们就可以通过它来获取源码。?再通过base64的解码可以查看源码。
抽奖系统PHP源码开源二开版带完整后台
jiyc2008的博客
08-28 322
抽奖系统源码是一个以php MySQL进行开发的手机抽奖系统源码。用途:适合做推广营销、直播、粉丝抽奖。1、后台可以设置每个抽奖用户的抽奖次数,后台添加设置奖品,适和企业和商场搞活动,后台添加用户,才能抽奖。经过电脑管家、网站安全狗扫描特征码,没有发现可疑文件,请放心使用。该程序可以作为活动氛围活动气氛的烘托作用,活动游戏而已!3、后台可以设置每个奖品的中奖概率,中奖概率采用百分制。2、后台可以添加上传抽奖商品图片和奖品名称。测试环境:php5.6 Mysql。4、会员前台可以查询中奖记录。
使用 树莓派3B+ 对日本葡萄园进行经济实惠的环境监测
EDATEC的博客
08-29 1342
然而,他也热衷于酿造 “优质葡萄酒”,随着他所居住的东京北部胜沼地区葡萄酒旅游业的兴起,他感觉到了商机。菊岛热衷于在他所谓的 “Hinno ”物联网系统中使用太阳能,日语中的 “Hinno ”表明这是一种简单的农民葡萄栽培方法,因为太阳能还可以用来为电栅栏供电,防止动物靠近作物。他还可以在办公室里随时观察大气状况。对于 菊岛邦夫—Vineyard Kikushima 而言,Raspberry Pi 生态系统提供了支持和信息,通过基于温度和湿度监测的有针对性的最低限度杀虫剂方案,来提高葡萄的健康产量。
后端输出二进制数据,前端fetch接受二进制数据,并转化为字符输出
最新发布
cdcdhj的博客
09-01 256
在这个前端代码中,我们使用fetch API请求PHP脚本,并获取二进制数据。然后,我们将ArrayBuffer转换为字符串,以便在JavaScript中使用。在PHP中,你可以将字符串或其他数据类型转换为二进制数据,并通过HTTP响应发送给前端。
Nginx的lnmp服务搭建
2201_75745826的博客
08-29 1193
nginx是一款功能强大的web服务器。和apache一样,有http和https两个服务。nginx功能强大,且库使用第三方模块,正反向代理等。Nginx默认采用多进程工作方式,Nginx启动后,会运行一个master进程和多个worker进程。其中master充当整个进程组与用户的交互接口,同时对进程进行监护,管理worker进程来实现重启服务、平滑升级、更换日志文件、配置文件实时生效等功能。worker用来处理基本的网络事件,worker之间是平等的,他们共同竞争来处理来自客户端的请求。
Upload-Lab第20关:如何利用文件名可控漏洞
didiplus
08-27 521
在Upload-Lab的第20关中,系统没有对上传文件的内容进行验证,而是仅对用户输入的文件名进行了检查。具体来说,系统使用文件后缀名的黑名单进行过滤,但由于上传的文件名是用户可控的,这为绕过机制提供了可能性。此外,函数还有一个特性,即它会忽略文件名末尾的/.,这可以被利用来绕过后缀名的黑名单检查,从而上传恶意文件。通过这一关的学习,我们可以深入理解 Apache 配置文件的作用及其在安全防护中的重要性。同时,这也提醒我们在设计和开发上传功能时,必须考虑到所有可能的攻击面,确保服务器配置的安全性和稳健性。
第三章 封装与继承
weixin_65279640的博客
08-28 1324
面向对象三大特征之一 ——封装概念:将类的某些信息隐藏在类内部,不允许外部程序直接访问,而是通过该类提供的方法来实现对隐藏信息的操作和访问把尽可能多的东西藏起来,对外提供便捷的接口。说白了就是把对象中的属性信息封装在对象类内部,不让用户直接使用类属性进行访问,而是定义一个方法作为类属性的接口提供给用户访问使用。封装的两个大致原则把所有的属性藏起来把尽可能多的东西藏起来,对外提供便捷的接口。
使用 Puppeteer 在 PHP 中解决 reCAPTCHA 以进行网页抓取
weixin_68994939的博客
08-28 1225
为了让您了解一些背景信息,reCAPTCHA 是一种旨在保护网站免遭自动化滥用的系统。它要求用户完成对人类来说很容易但对机器人来说很困难的任务,例如识别图像中的物体或选中一个框。虽然这些挑战对于安全来说非常有用,但它们对于网页抓取来说却很麻烦。:此版本以“我不是机器人”复选框和基于图像的挑战而闻名。用户可能需要点击图像或完成特定操作来证明他们不是机器人。它在区分真实用户和机器人方面非常有效。:此版本在后台运行。它不直接要求用户交互,而是分析用户在整个网站上的行为,并分配一个风险评分。
xss-labs通关攻略 11-15关
2301_82061181的博客
08-27 477
步骤二:修改User Agent:click me!" type="button" onmouseover="alert(/xss/)进行放包。步骤二:修改Cookie: user=click me!" type="button" onmouseover="alert(/xss/)" type="button" onmouseover="alert(/xss/)进行放包。name='步骤一:利用burp抓包。步骤一:利用burp抓包。
WordPress wpDiscuz评论插件文件上传漏洞深度剖析
本文主要探讨的是WordPress评论插件wpDiscuz的一个已知的安全漏洞,该漏洞允许攻击者进行任意文件上传。作者在对一个遭受攻击的WordPress站点进行分析时,注意到攻击者通过特定路径`/wp-admin/admin-ajax....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值