微点交流论坛

标题: WordPress的草稿泄漏信息 [打印本页]

作者: pioneer 时间: 2007-12-24 09:29 标题: WordPress的草稿泄漏信息

来源

secunia.com

软件名

WordPress 2.x

描述

这可恶意绕过特定的安全限制和泄漏敏感信息
应用程序没有准确限制经有效管理员认证的用户对已发布草稿的访问，这可通过在以"wp-admin/"为结尾的部分"PATH_INFO" URL访问index.php脚本的数据来浏览草稿

例如：
http://[host]/[path]/index.php/wp-admin/
http://[host]/[path]/index.php/test-wp-admin/

该漏洞在V2.3.1中已经确认，其它版本可能也受到影响

解决方案

不要将敏感信息做为草稿发布

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn