漏洞发现时间:
2017-08-31
漏洞编号:
CVE-2017-12947
CVE-2017-12946
危险等级:
高危
受影响软件:
WordPress Easy Modal plugin < 2.1.0
漏洞描述:
WordPress是一种使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。在国际上广泛使用了,可以兼容自开发的插件。功能强大,应用广泛。
该漏洞存在于classes\controller\admin\modals.php文件中,未对id、ids、modal参数进行正确的过滤,攻击者利用该漏洞提交特制的SQL查询等语句,获取数据库数据等敏感信息。
来源参考:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12946
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12947
专家建议:
应用补丁,请向供应商咨询详情。
厂商补丁:
https://wordpress.org/plugins/easy-modal/#developers