发布日期：2015-02-19
更新日期：2015-03-16

受影响系统：

WordPress Huge IT Slider <= 2.6.8

描述：

---

CVE(CAN) ID: CVE-2015-2062

Huge IT Slider是WordPress的一个插件，该工具可将网站上的图片整理到滑块中。

Huge IT Slider 2.6.8及之前版本，在 "task" 参数设置为"popup_posts"或"edit_cat"后，没有有效过滤"/wp-admin/admin.php"脚本"removeslide" HTTP GET参数内的数据输入，远程攻击者可利用此漏洞在应用数据库中执行任意sql查询。

<*来源：vendor
  
  链接：http://www.securityfocus.com/archive/1/534852
*>

建议：

---

厂商补丁：

WordPress
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://wordpress.org/support/topic/huge-it-slider-security-vulnerabilit
y-notification-sql-injection

浏览次数：2077
严重程度：0（网友投票）