首頁 -> 安全研究

安全研究

安全漏洞
WordPress Advanced Access Manager插件任意文件覆蓋漏洞(CVE-2014-6059)

發布日期:2014-09-03
更新日期:2014-09-04

受影響系統:
WordPress Advanced Access Manager 2.8.2
WordPress Advanced Access Manager
描述:
BUGTRAQ  ID: 69549
CVE(CAN) ID: CVE-2014-6059

Advanced Access Manager插件是訪問控制和安全增強工具,可對單個博客或多站點網絡進行靈活的控制。

Advanced Access Manager 2.8.2及其他版本允許對任意文件寫入任意內容,根據服務器配置,這有可能導致任意代碼執行、覆蓋核心文件或者上傳目錄內的文件。

<*來源:Tom Adams
  *>

測試方法:

警 告

以下程序(方法)可能帶有攻擊性,僅供安全研究與教學之用。使用者風險自負!

Visit http://localhost/wp-admin/admin.php?page=aam-configpress
Press “Save” (this creates the “aam_configpress” option)
Visit http://localhost/wp-admin/options.php
Set “aam_configpress” to “test.php”
Press “Save Changes”
Visit http://localhost/wp-admin/admin.php?page=aam-configpress again
Enter “<?php phpinfo();” into the textarea (without the quotes)
Press “Save”
Visit http://localhost/wp-content/aam/test.php

建議:
廠商補丁:

WordPress
---------
目前廠商已經發布了升級補丁以修復這個安全問題,請到廠商的主頁下載:

https://wordpress.org/plugins/advanced-access-manager/

瀏覽次數:10969
嚴重程度:0(網友投票)
本安全漏洞由綠盟科技翻譯整理,版權所有,未經許可,不得轉載
綠盟科技給您安全的保障
重庆时时彩计划准不准 甘肃快三走势图 热血江湖手游分解赚钱 全网最准平特三连肖 飞禽走兽是什么游戏 甘肃快三开奖结果500 巴登棋牌怎么赢钱 小鲜肉赚钱多少 浙江快乐彩12选5下载 彩票技巧规律 龙虎玩法前三斗后二 闲来麻将官方邀请码 北京11选5更多期开奖结果