安全研究
安全漏洞
WordPress Mobile App Builder By Wappress插件任意文件上传漏洞(CVE-2017-1002000/CVE-2017-100
发布日期:2019-06-19
更新日期:2019-06-19
受影响系统:WordPress mobile-app-builder-by-wappress 1.05
描述:
BUGTRAQ ID:
96905
CVE(CAN) ID:
CVE-2017-1002000/CVE-2017-1002001
WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。
CVE-2017-1002000:wordpress插件中的漏洞mobile-friendly-app-builder-by-easytouch v3.0,文件中的代码./mobile-friendly-app-builder-by-easytouch/server/images.php不需要身份验证或检查允许用户上传内容。
CVE-2017-1002001:wordpress插件中的漏洞mobile-app-builder-by-wappress v1.05,该插件包含来自
http://www.invedion.com的未经许可的易受攻击的CMS软件。
攻击者可以利用此问题上载任意代码并在Web服务器进程的上下文中运行它。这可能有助于未经授权访问该应用程序; 其他攻击也是可能的。
<*来源:Larry W. Cashdollar (
lwc@vapid.dhs.org)
*>
建议:
厂商补丁:
WordPress
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://wordpress.org/浏览次数:2540
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |