WordPress和WordPress plugin都是WordPress基金会的产品,WordPress是一套使用PHP语言开发的博客平台,该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能,WordPress plugin是一个应用插件。
WordPress plugin OAuth Single Sign On 6.26.14及之前版本存在未授权访问漏洞,该漏洞源于插件通过oauthredirect参数提供的OAuth重定向功能缺少权限校验与身份认证检查,未登录的攻击者可利用该漏洞直接访问站点,并利用redirect_url参数篡改全局重定向URL配置。