漏洞起因
输入验证错误
危险等级
中
影响系统
WordPress Video Embed & Thumbnail Generator 1.1
不受影响系统
WordPress Video Embed & Thumbnail Generator 2.0
危害
远程攻击者可以利用漏洞以WEB权限执行任意SHELL命令。
攻击所需条件
攻击者必须访问WordPress Video Embed & Thumbnail Generator。
漏洞信息
WordPress Video Embed & Thumbnail Generator是一款WordPress视频嵌入和缩略图生成插件。
传递给wp-content/plugins/video-embed-thumbnail-generator/kg_callffmpeg.php脚本中多个函数的输入在用于”exec()”调用之前缺少过滤,可被利用注入和执行任意SHELL命令。
测试方法
厂商解决方案
WordPress Video Embed & Thumbnail Generator 2.0已经修复此漏洞,建议用户下载使用:
http://wordpress.org/extend/plugins/video-embed-thumbnail-generator
漏洞提供者
vendor
评论关闭。