当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

WordPress Paid Memberships Pro插件\'admin-ajax.php\'目录遍历漏洞

     发表日期:2014-11-26 16:48:37

WordPress Paid Memberships Pro插件\'admin-ajax.php\'目录遍历漏洞

BugTraq-ID:71293

CVE-ID:CVE-2014-8801

发布日期:2014-11-25

更新日期:2014-11-26

受影响系统:

WordPress Paid Memberships Pro 1.7.14.2

WordPress Paid Memberships Pro

详细信息:

Paid Memberships Pro插件是为WordPress站点添加支付用户的社区解决方案。 Paid Memberships Pro 1.7.14.2及其他版本在实现上存在目录遍历漏洞,成功利用后可使攻击者获取敏感信息。

来源:

Kacper Szurek

参考信息:

http://www.exploit-db.com/exploits/35303/

测试方法:

警告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!www.example.com/wp-admin/admin-ajax.php?action=getfile&/../../wp-config.php

解决办法:

厂商补丁:

WordPress

---------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://downloads.wordpress.org/plugin/paid-memberships-pro.1.7.15.zip

http://www.paidmembershipspro.com/2014/11/critical-security-update-pmpro-v1-7-15/