发布日期：2014-07-09
更新日期：2014-07-11

受影响系统：

WordPress BSK PDF Manager

描述：

---

BUGTRAQ  ID: 68488
CVE(CAN) ID: CVE-2014-4944

BSK PDF Manager plugin for WordPress是管理WordPress内PDF文档的插件。

BSK PDF Manager 1.3.2及其他版本没有正确过滤'wp-admin/admin.php'的值，在实现上存在SQL注入漏洞，成功利用后可使攻击者执行未授权数据库操作。

<*来源：Claudio Viviani
  *>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.example.com/wp-admin/admin.php?page=bsk-pdf-manager-pdfs&amp;amp;view=edit&amp;amp;pdfid=1 and 1=2

http://www.example.com/wp-admin/admin.php?page=bsk-pdf-manager&amp;amp;view=edit&amp;amp;categoryid=1 and 1=2

建议：

---

厂商补丁：

WordPress
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://wordpress.org/plugins/bsk-pdf-manager/

浏览次数：4110
严重程度：0（网友投票）