安全研究

安全漏洞
WordPress Mobile App Builder By Wappress插件任意文件上传漏洞(CVE-2017-1002000/CVE-2017-100

发布日期:2019-06-19
更新日期:2019-06-19

受影响系统:
WordPress mobile-app-builder-by-wappress 1.05
描述:
BUGTRAQ  ID: 96905
CVE(CAN) ID: CVE-2017-1002000/CVE-2017-1002001

WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。

CVE-2017-1002000:wordpress插件中的漏洞mobile-friendly-app-builder-by-easytouch v3.0,文件中的代码./mobile-friendly-app-builder-by-easytouch/server/images.php不需要身份验证或检查允许用户上传内容。
CVE-2017-1002001:wordpress插件中的漏洞mobile-app-builder-by-wappress v1.05,该插件包含来自http://www.invedion.com的未经许可的易受攻击的CMS软件。

攻击者可以利用此问题上载任意代码并在Web服务器进程的上下文中运行它。这可能有助于未经授权访问该应用程序; 其他攻击也是可能的。

<*来源:Larry W. Cashdollar (lwc@vapid.dhs.org
  *>

建议:
厂商补丁:

WordPress
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://wordpress.org/

浏览次数:2560
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障