发布日期：2012-11-02
更新日期：2012-11-05

受影响系统：

WordPress All Video Gallery Plugin 1.x

描述：

---

BUGTRAQ  ID: 56380

WordPress是一种使用PHP语言和MySQL数据库开发的Blog（博客、网志)引擎，用户可以在支持PHP和MySQL数据库的服务器上建立自己的Blog。

All Video Gallery 1.1.0之前版本存在多个SQL注入漏洞，通过"vid"参数发送到wp-content/plugins/all-video-gallery/playlist.php和wp-content/plugins/all-video-gallery/xml/playlist.php的输入没有正确过滤即用在SQL查询中。攻击者可利用这些漏洞控制应用、访问或修改数据、利用下层数据内的其他漏洞。

<*来源：Charlie Eriksen
  
  链接：http://secunia.com/advisories/50874/
*>

建议：

---

厂商补丁：

WordPress
---------
请更新到2012年11月1日后发布的1.1版本。

http://wordpress.org/

浏览次数：3377
严重程度：0（网友投票）