WordPress 存在字段名称HTML代码注入漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2007-11-02
WordPress 存在字段名称HTML代码注入漏洞 发布日期:2007-09-11 

更新日期:2007-09-13 

受影响系统: 

WordPress WordPress 2.2.2 

不受影响系统: 

WordPress WordPress 2.2.3 

描述: 

-------------------------------------------------------------------------------- 

BUGTRAQ ID: 25639 

WordPress是一款免费的论坛Blog系统。 

WordPress在过滤用户数据时存在漏洞,远程安全者可能利用此漏洞执行跨站脚本安全。 

远程安全者可以通过添加名为no_filter的字段绕过unfiltered_html权限功能,这允许没有unfiltered_html权限的用户通过提交特制的POST请求在博客中注入任意HTML和脚本代码。 

<*来源:xknown 

链接:http://secunia.com/advisories/26771/ 

http://trac.wordpress.org/ticket/4720 

*> 

建议: 

-------------------------------------------------------------------------------- 

厂商补丁: 

WordPress 

--------- 

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: 

http://wordpress.org/latest.tar.gz