Уразливості в WP-Upload Manager для WordPress
23:58 26.01.2009Учора, 25.01.2009, я знайшов Cross-Site Scripting, SQL Injection та Arbitrary File Deletion уразливості в плагіні WP-Upload Manager для WordPress. Про що найближчим часом повідомлю розробникам плагіна.
XSS:
SQL Injection:
WP-Upload Manager SQL Injection.html
Дана SQL ін’єкція може використовуватися для проведення DoS атак.
Arbitrary File Deletion:
WP-Upload Manager Arbitrary File Deletion.html
Дана уразливість може використовуватися для видалення довільних файлів в папці для завантаження.
Уразлива версія плагіна WP-Upload Manager 1.0. Дана версія плагіну призначена для WordPress 1.5 та попередніх версій.