‫ آسيب پذيري include كردن فايل "abspath" از راه دور در WordPress Zingiri Web Shop Plugin

IRCAD2012072037
شماره:IRCAD2012072037
تاريخ انتشار:02-07-2012
ميزان حساسيت: بسيار مهم
نرم افزارهاي تحت تاثير: 
WordPress Zingiri Web Shop Plugin 2.x
 
توضيح:
چارلي اريكسون يك آسيب پذيري را در پلاگينZingiri Web Shop  براي وردپرس كشف كرده است كه مي تواند توسط افراد خرابكار مورد سوء استفاده قرار بگيرد تا كنترل يك سيستم آسيب پذير را در اختيار بگيرند.
ورودي ارسال شده از طريق پارامتر "abspath" به wp-content/plugins/zingiri-web-shop/fws/download.php پيش از استفاده براي include كردن فايل ها به خوبي بررسي نمي شود. اين مساله مي تواند براي include كردن فايل هاي دلخواه از منابع محلي يا خارجي مورد سوء استفاده قرار گيرد.
اين آسيب پذيري در نسخه 2.4.6 تاييد شده است. ساير نسخه نيز ممكن است تحت تاثير اين آسيب پذيري قرار بگيرند.
 
راهكار:
به نسخه 2.4.7 به روز رساني نماييد.
 
منابع:
Zingiri Web Shop:
 
Secunia:
 
 

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 13 تیر 1391

امتیاز

امتیاز شما
تعداد امتیازها:0