WordPress FuneralPress插件多个HTML注入漏洞

最新推荐文章于 2024-09-17 11:11:03 发布
最新推荐文章于 2024-09-17 11:11:03 发布
阅读量97 收藏
点赞数
文章标签: php 数据库
原文链接:http://www.cnblogs.com/security4399/archive/2013/04/02/2996213.html
版权

漏洞名称:WordPress FuneralPress插件多个HTML注入漏洞
CNNVD编号:CNNVD-201304-007
发布时间:2013-04-02
更新时间:2013-04-02
危害等级: 
漏洞类型:输入验证
威胁类型:远程
CVE编号: 
漏洞来源:Rob Armstrong

WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。
        WordPress中的FuneralPress插件中存在多个HTML注入漏洞,这些漏洞源于程序没有正确验证用户提供的输 入。攻击者利用这些漏洞在受影响浏览器上下文中运行恶意的HTML和脚本代码,潜在的允许攻击者窃取基于cookie认证证书或控制站点呈现给用户的方 式,也可能存在其他攻击。FuneralPress 1.1.6版本中存在漏洞,其他版本也可能受到影响。

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
        http://wordpress.org/

来源: BID
名称: 58790
链接:http://www.securityfocus.com/bid/58790

转载于:https://www.cnblogs.com/security4399/archive/2013/04/02/2996213.html

weixin_30781107
关注
WordPress Automatic插件 SQL注入漏洞复现(CVE-2024-27956)
0xSec
05-01 1171
WordPress Automatic 插件3.92.1之前版本中存在SQL注入漏洞,该漏洞源于插件的用户身份验证机制,威胁者可以绕过该机制执行恶意SQL查询,将任意SQL代码注入网站的数据库并实现权限提升。成功利用该漏洞可能获得对网站的未授权访问、创建管理员帐户、上传恶意文件,并可能完全控制受影响的网站。
wordpress漏洞上传php文件,WordPress Foxypress插件\'uploadify.php\'任意文件上传漏洞
weixin_39535125的博客
03-09 406
WordPress Foxypress插件\'uploadify.php\'任意文件上传漏洞信息来源:Sammy Forgit 发表日期:2013-05-01 14:59:00FoxyPressWordPress博客软件插件Foxypress 0.4.1.1-0.4.2.1版本的wp-content/plugins/foxypress/uploadify/uploadify.php脚...
uploadify php处理程序,WordPress插件Foxypress uploadify.php任意代码执行
weixin_31739613的博客
04-02 157
require 'msf/core'class Metasploit3 < Msf::Exploit::RemoteRank = ExcellentRankinginclude Msf::Exploit::Remote::HttpClientdef initialize(info = {})super(update_info(info,'Name' => 'Word...
1day WordPress Dokan Pro插件 SQL注入漏洞复现
weixin_43167326的博客
06-28 989
WordPress Dokan Pro插件是一款功能强大的多供应商电子商务市场解决方案,功能全面、易于使用的多供应商电子商务平台解决方案,适合各种规模的电商项目。允许管理员创建一个多卖家平台,卖家可以注册账户并在平台上创建自己的店铺,展示和销售自己的产品。提供直观的用户界面,卖家能够轻松管理他们的店铺,包括添加产品、处理订单和与客户进行沟通。
WordPress插件SQL注入漏洞——漏洞复现
W小哥
11-25 8736
复现过程 环境地址:https://www.mozhe.cn/bug/detail/S0JTL0F4RE1sY2hGdHdwcUJ6aUFCQT09bW96aGUmozhe 访问目标网站 常规工具AWVS扫描是扫不出来漏洞的 第一步识别CMS vulnx -u http://219.153.49.228:47712/ --cms wpscan --url http://219.153.49.228:47712/ 给API的token才能将结果输出 ...
【WP|5】WordPress 插件开发详解
热门推荐
颜淡慕潇
05-29 1万+
插件通常需要在 WordPress 管理后台添加自定义菜单。20'Submenu',在插件中创建自定义数据库表,用于存储插件特定的数据。以下示例展示了如何在插件激活时创建数据库表。;通过本文的详细讲解,你已经了解了从基础到高级的 WordPress 插件开发技巧。掌握这些技能,可以让你开发出功能强大、性能优越且安全性高的插件,为你的 WordPress 网站增色不少。希望这篇文章能为你的插件开发之路提供帮助和启发。
CVE-2022-20261 Wordpress插件SQL注入漏洞分析及修补
鸣蜩十四的博客
03-11 7603
简介 wordpress是世界上使用最多的开源 CMS 之一。在允许开发者自己构建插件和主题来管理网站时,使用我们的许多便捷功能,wordpress的核心会提供插件/主题调用和使用wordpress函数的功能,如数据格式、查询数据库等许多选项在提供的众多类中,WP提供的查询DB的类中有SQL Injection错误:WP_Query。WP_Query 是 WordPress 提供的一个用于处理复杂 SQL 查询的类,在 WordPress 核心框架和插件中使用范围非常广泛,用户可以通过 WP_Query 类
漏洞情报 | WordPress ProfilePress插件多个严重漏洞
爱国小白帽
07-07 1202
​ 点击上方 订阅话题 第一时间了解漏洞威胁 0x01 漏洞描述 WordPress ProfilePress(原 WP User Avatar)是一个轻量级会员插件,可用于创建用户画像、会员目录和用于用户注册、登录、密码重置及用户信息编辑的前端表单。 360漏洞云监测到WordPress ProfilePress插件存在多个严重漏洞。 CVE-2021-34621 特权提升漏洞 在用户注册过程中,攻击者可通过提供任意用户元数据实现权限提升。 CVE-2021-34622 特权提升漏洞 在用户画
wordpress插件-wordpress常用插件大全
qq_787143156的博客
01-28 2855
搜索引擎优化(SEO)的主要目标就是让你的网站内容尽可能地出现在搜索结果靠前位置。具体可以通过四个步骤来实现:1.抓取系统,2.关键词调研,3.页面优化,4.外链建设 1. 抓取系统(Spider) 首先,我们需要了解搜索引擎的工作原理,以便更好得理解SEO。搜索引擎有一个抓取系统,俗称Spider,你可以把它想象成一群在互联网上乱爬的蜘蛛(有点恶趣味...),它们会读取各个页面的HTML,并且通过页面上的链接关系,不断抓去新的有价值的页面内容,再将其发回搜索引擎。根据Spider传回的信息,搜索引擎来给
wordpress 评论插件 wpDiscuz 任意文件上传漏洞分析1
08-03
WordPress wpDiscuz 评论插件任意文件上传漏洞分析】 WordPress 是一款广泛使用的开源内容管理系统,而 wpDiscuz 是一个流行的评论插件,它为 WordPress 网站提供了丰富的交互式评论功能。然而,如同任何软件一样...
WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661.pdf
09-27
WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661】是一个近期发现的安全问题,涉及到WordPress的核心函数`WP_Query`。这个漏洞并非直接的SQL注入,但因为`WP_Query`经常被WordPress插件广泛使用,所以其潜在的危害...
WordPress Dokan Pro插件 SQL注入漏洞复现(CVE-2024-3922)
0xSec
06-27 750
WordPress Dokan Pro插件在3.10.3及以下版本中,由于对用户提供的'subscription_code'参数缺乏足够的转义处理以及现有SQL查询准备不足,在/wp-admin/admin.php接口处存在SQL注入漏洞。未授权攻击者可通过该漏洞向现有查询中注入额外的SQL语句,进而从数据库中提取敏感信息。
SEAFARING靶场渗透
kknifek的博客
09-13 545
??echo '<??
dedecms(四种webshell姿势)
2301_81881972的博客
09-14 981
点击【系统】【sql命令行工具】--》多行命令中输入select '<?>' into outfile '+路径+创建文件名。与WPCMS类似,直接修改模板拿WebShel..点击【模板】--》【默认模板管理】【index.htm】-->【修改】在文件修改中添加一句话代码.....如下。点击【模块】【广告管理】--》〔【增加一个新广告】 --》在 【广告内容】 处添加一句话代码--》点击 【确定】账号密码同为admin。
Netty笔记03-组件Channel
weixin_46425661的博客
09-12 844
本文主要讲解Netty中的组件Channel、ChannelFuture和CloseFuture
【网络安全】-rce漏洞-pikachu
weixin_65311462的博客
09-12 1132
由于应用程序在处理用户输入时未能正确验证、过滤或限制输入数据,导致hacker能通过网络在目标系统上执行任意代码或命令,从而完全控制受影响的系统。RCE漏洞是一种严重的安全漏洞类型,对系统安全构成重大威胁。
YOLOv9改进系列,YOLOv9主干网络替换为RepViT (CVPR 2024,清华提出,独家首发),助力涨点
最新发布
weixin_44779079的博客
09-17 367
YOLOv9主干网络替换为RepViT,助力涨点,通过结合轻量级ViTs的架构设计,重新审视了轻量级CNNs的高效设计,最终得到了RepViT,这是一种为资源受限的移动设备设计的全新轻量级CNN家族。RepViT在多个视觉任务中超越了现有的轻量级ViTs和CNNs,表现出了优异的性能和延迟,突显了纯轻量级CNNs在移动设备上应用的广阔前景。
WordPress wpDiscuz评论插件文件上传漏洞深度剖析
本文主要探讨的是WordPress评论插件wpDiscuz的一个已知的安全漏洞,该漏洞允许攻击者进行任意文件上传。作者在对一个遭受攻击的WordPress站点进行分析时,注意到攻击者通过特定路径`/wp-admin/admin-ajax....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值