WordPress错误paged参数SQL操作信息泄露漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1194272 漏洞类型 输入验证
发布时间 2006-07-06 更新时间 2006-07-07
CVE编号 CVE-2006-3390 CNNVD-ID CNNVD-200607-045
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200607-045
|漏洞详情
WordPress是一款免费的论坛Blog系统。WordPress对错误请求的处理上存在漏洞,远程攻击者可能利用此漏洞获取服务器返回的包含SQL操作命令的敏感信息,可能有助于其进一步攻击。如果攻击者向index.php传送了无效的paged参数的话,WordPress在返回的错误信息中会泄漏执行当前操作失败时的SQL命令,其中包含数据库表名前缀等敏感信息。
|参考资料

来源:BID
名称:18779
链接:http://www.securityfocus.com/bid/18779
来源:BUGTRAQ
名称:20060704Re:WordPress2.0.3SQLErrorandFullPathDisclosure
链接:http://www.securityfocus.com/archive/1/archive/1/439062/100/0/threaded
来源:BUGTRAQ
名称:20060702WordPress2.0.3SQLErrorandFullPathDisclosure
链接:http://www.securityfocus.com/archive/1/archive/1/438942/100/0/threaded
来源:VUPEN
名称:ADV-2006-2661
链接:http://www.frsirt.com/english/advisories/2006/2661
来源:SECUNIA
名称:20928
链接:http://secunia.com/advisories/20928
来源:SREASON
名称:1187
链接:http://securityreason.com/securityalert/1187
来源:GENTOO
名称:GLSA-200608-19
链接:http://security.gentoo.org/glsa/glsa-200608-19.xml
来源:SECUNIA
名称:21447
链接:http://secunia.com/advisories/21447