WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。Download Monitor是其中的一个管理文件下载的插件。 WordPress的Download Monitor插件3.3.6及之前的版本中的admin/admin.php脚本中存在跨站脚本漏洞。远程攻击者可通过‘sort’参数利用该漏洞注入任意Web脚本或HTML。
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: http://plugins.trac.wordpress.org/changeset/723187/download-monitor
来源: XF 名称: wp-downloadmonitor-cve20133262-admin-xss(85921) 链接:http://xforce.iss.net/xforce/xfdb/85921 来源: BID 名称: 61407 链接:http://www.securityfocus.com/bid/61407 来源: SECUNIA 名称: 53116 链接:http://secunia.com/advisories/53116