WordPress Wp-admin/admin.php模块 权限检查漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2009-07-13
WordPress Wp-admin/admin.php模块 权限检查漏洞 受影响系统:
WordPress WordPress 2.8
WordPress WordPress MU 2.7.1

不受影响系统:
WordPress WordPress 2.8.1
WordPress WordPress MU 2.8.1

描述:
WordPress是一款免费的论坛Blog系统。

WordPress对使用page参数的插件配置PHP模块缺少权限检查,如果非特权用户在请求中用admin.php替换了options-general.php或plugins.php,就可以非授权查看插件配置页面的内容,或修改某些插件选项并注入JavaScript代码。

厂商补丁:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://wordpress.org/