WordPress和WordPress plugin都是WordPress基金会的产品,WordPress是一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站,WordPress plugin是一个应用插件。
WordPress plugin Admin in English with Switch 1.1及之前版本存在跨站请求伪造漏洞,该漏洞源于enable_eng函数缺少或错误验证随机数,攻击者可利用该漏洞通过伪造请求修改管理员的语言设置,前提是他们能诱骗网站管理员执行某些操作(例如点击链接)。
