فا

‫ آسيب پذيري آپلود فايل دلخواه در پلاگين Kish Guest Posting در وردپرس

IRCAD2012011677
شماره:IRCAD2012011677
تاريخ انتشار:24-01-2012
ميزان حساسيت: بسيار مهم
نرم افزارهاي تحت تاثير:
Gentoo Linux
توضيح:
يك آسيب پذيري در پلاگين Kish Guest Posting براي وردپرس گزار شده است كه مي تواند توسط افراد خرابكار مورد سوء استفاده قرار بگيرد تا كنترل يك سيستم آسيب پذير را در اختيار بگيرند.
برنامه كاربردي فايل هاي آپلود شده را به طور نامناسب اعتبارسنجي مي كند. اين مساله مي تواند براي اجراي كد PHP دلخواه بوسيله آپلود كردن فايل PHP به همراه يك پسوند فايل ".gif" مورد سوء استفاده قرار بگيرد.
سوء استفاده موفقيت آميز نيازمند آن است كه آپاچي براي مديريت mime-type براي فايل هاي رسانه با پسوند ".gif" پيكربندي نشده باشد.
اين آسيب پذيري در نسخه 1.2 گزارش شده است. ساير نسخه ها نيز ممكن است تحت تاثير اين آسيب پذيري قرار بگيرند.
راهكار:
دسترسي به wp-content/plugins/kish-guest-posting/uploadify/scripts/uploadify.php (e.g. via .htaccess) را محدود سازيد.
منابع:
Secunia:

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 25 بهمن 1390

امتیاز

امتیاز شما
تعداد امتیازها: 0