WordPress Video Embed & Thumbnail Generator插件远程代码执行漏洞

日期: 2012/02/29 | 标签:wordpress | 游览：532

漏洞起因
输入验证错误
危险等级
中

影响系统
WordPress Video Embed & Thumbnail Generator 1.1

不受影响系统
WordPress Video Embed & Thumbnail Generator 2.0

危害
远程攻击者可以利用漏洞以WEB权限执行任意SHELL命令。

攻击所需条件
攻击者必须访问WordPress Video Embed & Thumbnail Generator。

漏洞信息
WordPress Video Embed & Thumbnail Generator是一款WordPress视频嵌入和缩略图生成插件。
传递给wp-content/plugins/video-embed-thumbnail-generator/kg_callffmpeg.php脚本中多个函数的输入在用于”exec()”调用之前缺少过滤，可被利用注入和执行任意SHELL命令。

测试方法

厂商解决方案
WordPress Video Embed & Thumbnail Generator 2.0已经修复此漏洞，建议用户下载使用：
http://wordpress.org/extend/plugins/video-embed-thumbnail-generator

漏洞提供者
vendor

← Google V8服务器端JavaScript注入漏洞

Debian ‘x11-common’ Init脚本不安全临时文件创建漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

WordPress Video Embed & Thumbnail Generator插件远程代码执行漏洞

评论关闭。