发布日期：2015-02-05
更新日期：2015-02-12

受影响系统：

WordPress Holding Pattern Theme <= 0.6

描述：

---

BUGTRAQ  ID: 72546
CVE(CAN) ID: CVE-2015-1172

WordPress Holding Pattern是简单易用的登录页面主题。

Holding Pattern 0.6及其他版本在admin/upload-file.php的实现上存在未受限制的文件上传漏洞，远程攻击者通过上传带PHP扩展的文件，然后直接请求访问该文件，利用此漏洞可执行任意PHP代码。

<*来源：Alexander Borg
  *>

建议：

---

厂商补丁：

WordPress
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

https://github.com/UpThemes/Holding-Pattern-Theme

参考：http://packetstormsecurity.com/files/130282/WordPress-Holding-Pattern-0.6-Shell-Upload.html

浏览次数：3004
严重程度：0（网友投票）