WordPress插件Huge IT Slider SQL注入漏洞

RyanB 2015-03-16

发布日期:2015-02-19
更新日期:2015-03-16

受影响系统:
WordPress Huge IT Slider <= 2.6.8
描述:
CVE(CAN) ID: CVE-2015-2062

 Huge IT Slider是WordPress的一个插件,该工具可将网站上的图片整理到滑块中。

Huge IT Slider 2.6.8及之前版本,在 "task" 参数设置为"popup_posts"或"edit_cat"后,没有有效过滤"/wp-admin/admin.php"脚本"removeslide" HTTP GET参数内的数据输入,远程攻击者可利用此漏洞在应用数据库中执行任意sql查询。

<*来源:vendor
 
  链接:http://www.securityfocus.com/archive/1/534852
 *>

建议:
厂商补丁:

WordPress
 ---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://wordpress.org/support/topic/huge-it-slider-security-vulnerabilit
 y-notification-sql-injection

RyanB

RyanB

相关推荐

WordPress 站点如何添加 Site Kit by Google 插件

Site Kit by Google 插件是一个 Google 针对 WordPress 提供的平台关联性产品。经过一段时间的使用,感觉还是非常方便的,这篇文章就是能够让我们手把手的添加这个插件到你的 WordPress 站点中。如果一切数据配置正确,这个

Wordpress0 / 0评论 2020-09-27

WordPress免插件实现面包屑导航的示例代码

你如果在开发自己的wordpress主题,想加入面包屑导航,而又不想使用插件的话,下面的代码对你有帮助,这里提供了网上较为流行的两种代码,一是功能非常完善的,一是一个较为简洁的代码。前面介绍了一种方法,你也可以尝试一下,在文末给大家详细介绍了自定义函数实现

bluehost / 0评论 2020-09-15

wordpress忘记管理员密码

忘记管理员登录密码:网址:http://www.sanshu.cn/tools/modify_wordpress_password/输入网址重新登录http://ip/wp-admin

maccarty / 0评论 2020-08-03

为WordPress所有的Tags标签添加Nofollow

Tags标签的使用和Nofollow的使用是SEO的重要技能,但有时候因为Tags链接太多,导致页面的权重被分散,这时候就要为Tags标签添加Nofollow,下面这些代码就可以轻松做到。只需要将以下代码复制到WordPress主题下面的funciton.

86520993 / 0评论 2020-07-28

Astra Pro主题永久正版授权wordpress轻量快速简洁主题模板汉化 后台110+模板

Astra Pro主题永久正版授权,后台官方模板随意导入更换,适合网站包括,中文企业站、自媒体、博客网站、英语外贸商城等!Astra在网站布局上是采取即时画面变更的编辑方式,在全网站设定颜色、文字大小、字体、汇整页面样式等都是在主题中自订选项完成,也就是可

WordPress / 0评论 2020-07-04

服务器搭建自己的博客(ali版)《二》

WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把WordPress当作一个内容管理系统来使用。执行如下命令,安装PHP环境。yum -y install php php-mysq

李维山 / 0评论 2020-06-21

企业实战LNMP高性能服务器_wordpress、discuz双网站部署

LNMP WEB架构中,Nginx为一款高性能WEB服务器,本身是不能处理PHP的,当接收到客户端浏览器发送HTTP Request请求时,Nginx服务器响应并处理WEB请求,静态资源CSS、图片、视频、TXT等静态文件请求,Nginx服务器可以直接处理

GimmeS / 0评论 2020-06-14

为wordpress的分类以及子分类指定固定模版

在wordpress主题开发有多个不同分类页面时,通常使用category-{slug}.php的方式分别为每个分类开发不同的页面模版,slug为该分类的别名,并且无需其他设置仅仅以此命名即可。但是,当分类下面有二级分类/三级分类时,这种做法就让二级分类/

WordPress / 0评论 2020-06-10

怎样确保WordPress登录是安全的

确保其受到保护,以便只有授权用户才能登录。随着网络犯罪的增加,包括竞争对手在内的任何人都可能尝试***别人的网站。尽管WordPress平台本身提供了一系列安全功能,但仍然需要主动采取措施来确保登录页面的安全。主机侦探小编将提供有关WordPress网站登

shayuchaor / 0评论 2020-06-10

实现LNMP架构,并部署WordPress以及配置NGINX虚拟主机

[ ~]# yum install php php-mysql ngnix mariadb-server php-fpm -y. [ nginx]# yum install gcc pcre-devel openssl-devel zlib-devel

liwf / 0评论 2020-06-02

搭建博客

WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统来使用。WordPress官方支持中文版,同时有爱好者开发的第三方中文语言包,如wopus

疯狂老司机 / 0评论 2020-05-26

centos7 Pure-ftpd

VSFTP 有登录用户权限,上传用户所属问题下载并安装 Pure-ftpdyum 安装。##此时会出现为该ftp新用户创建密码的提示:。#创建用户信息数据库文件:。##查看用户列表:。##删除账号的命令为:。打开安全组防火墙 21端口 主被动模式都可以使用

zcl / 0评论 2020-05-12

centos7搭建wordpress博客

ALTER USER ‘root‘@‘localhost‘ IDENTIFIED BY ‘NewPassWord1.‘;如果安装版本较低就会出现Your server is running PHP version 5.4.16 but WordPress

timewind / 0评论 2020-05-11

Docker 搭建 WordPress 博客

docker run -d -p 8080:80 --name wordpress --link db.mysql:mysql wordpress

86520993 / 0评论 2020-05-04

一个奇怪的网页bug 竟然是局域网DNS搞的鬼

更新了网站服务器后,明明测试的时候用另一个IP可以正常浏览网站的slide show ,而且外网也可以正常浏览,偏偏用回旧IP的时候内网就是有不显示的问题。以为是wordpress 的问题,于是打开F12调试又查不到代码哪一行出错。删了那条记录就正常了[骷

Lophole / 0评论 2020-04-29

wordpress +sakura主题 各种修改

注意备份数据文件。备案期间domin无法访问。所以不应该修改wordpressurl,站点url。建议修改当前主题的functions.php。修改之后登录后台发现设置里的地址已经修改为functions.php设置的地址了。update_option;

fraternityjava / 0评论 2020-04-23

教程|阿里云+wordpress搭建个人博客网站

现在我就以快速搭建 WordPress 博客网站为例进行演示。WordPress 具有插件架构和模板系统,是目前因特网上最流行的博客系统,甚至是很多知名的网站官网均是使用 WordPress 进行搭建。

84911835 / 0评论 2020-04-16

如何为 wordpress 添加 ELB 并启用 https

我们有的时候会遇到这样的情况,我们的 wordpress 的服务器是提供 http 服务的,我们现在需要在前面添加一个负载均衡,配置用户和负载均衡之间使用 https 协议,负载均衡到 apache 之间使用 http 协议。如果我们这样设置的话,会导致一

maccarty / 0评论 2020-04-09

wordpress不用插件实现批量替换文章内容中的旧地址

UPDATE `typecho_contents` SET `text` = REPLACE(`text`,‘旧域名地址‘,‘新域名地址‘);UPDATE `typecho_golinks` SET `target` = REPLACE(`target`,

WordPress / 0评论 2020-04-07

搭建Wordpress博客

grant all on wordpress.* to ‘localhost‘ identified by ‘123456‘;设置参数:数据库名: wordpress用 户 名:wordpress密 码 :123456数据库主机:local

84911835 / 0评论 2020-03-23

Wordpress如何打开调试模式

define('WP_DEBUG', true);

biubiubiu / 0评论 2020-03-12

wordpress插件上传的失败原因和处理方案

我在Wordpress里点击安装插件之后,这样其他用户对wp-content也拥有了写权限,问题解决。

JAVA从头开始 / 0评论 2020-03-11

如何给Wordpress安装插件

下载到本地成为.zip:. 插件->安装插件:。加载本地下载的zip文件,

87251540 / 0评论 2020-03-11

WP七牛云插件详解 - WP-QINIU 插件(WordPress连接到七牛云存储)-原创

安装之后,会在设置和媒体两个菜单项中有显示。WP-QINIU主要功能就是把WordPress和七牛云存储连接在一起的插件。

86520993 / 0评论 2020-03-06

Uni-app基础实战富文本框解析 WordPress rest api实例(二)

官方的富文本框有markdown和html两种方式,但是样式欠佳!官网可以一键导入,直接点击hbuilder x导入就ojbk。另外新建界面和界面配置这边不说啦,如果有需要可以看上面文章或者之前更早的文章。在用浏览器运行应该就可以看到 我是html代码 这

zcl / 0评论 2020-03-04

docker搭建wordpress

本文默认机器上已经安装了Docker。如果拉取镜像过慢,之前的文章介绍了阿里云镜像的加速。docker run -d --name wp --link mysql57:mysql -p 91:80 wordpress. 访问 http://ip:91 或者

愿天下再无BUG / 0评论 2020-02-23

WordPress新用户注册时提示“您的密码重设链接无效”

在使用Wordpress密码找回功能及新用户注册邮件中的重置密码链接时,Wordpress提示“您的密码重设链接无效,请在下方请求新链接。”、“该key似乎无效”、“invalid key”。此问题主要影响忘记密码时的找回密码功能及新用户注册时,系统给新用

maccarty / 0评论 2020-02-21

WordPress解决上传文件大小限制问题

在自定义WordPress,想上传主题啊,图片啊,音视频之类的,经常大小会被限制在2M以内,这是web服务器怕文件大影响性能,跟WP没关系。再来上传文件,发现变成128M了。

doupoo / 0评论 2020-02-15

WordPress配置Markdown并配合主题使用

前些天,Meek看我写的Jenkins入门,问我怎么没有用Markdown写,说越来越不喜欢非MD的写作了,建议我也用起来。其实之前也用过MD写东西,但是非常少,而且又因为博客上的写作直接并不是用MD写,所以也没坚持下来,锤子便签算是用MD练习的主要场地。

Hesland / 0评论 2020-02-09

让您的站点主页与WordPress安装目录不同设置相关及.htaccess文件创建

/** Loads the WordPress Environment and Template */

86520993 / 0评论 2020-01-30

Wordpress自动更新失败

在决定手动升级Wordpress前,你需要做好Wordpress的数据备份工作,以防手动升级失败;备份了就不怕数据丢失,还可以恢复。除了备份Wordpress的文件数据,不要忘记备份Wordpress的数据库文件,这个也很重要。最后在手动升级Wordpre

数据库之扑朔迷离 / 0评论 2020-01-25

docker compose自定义网络实现固定容器ip地址

由于默认的bridge桥接网络,重启容器后会改变ip地址。在一些场景下我们希望固定容器IP地址。docker-compose是docker的一个编排工具,相对于命令模式创建网络,容器等。使用配置文件相对来说更方便,可追溯问题。extnetwork是自定义的

rually / 0评论 2020-01-16

wordpress配置固定链接nginx访问404问题解决方法

listen 80;server_name www.ca.com;index index.php index.html index.htm;rewrite (.*) $1/index.html break;rewrite (.*) $1/i

Caleb0 / 0评论 2020-01-13

WordPress获取首页网站链接和站点名称

php bloginfo; ?> //结果:钻芒博客

WordPress / 0评论 2020-01-12

WordPress安装WPCOS插件分离图片至腾讯云对象存储加速网站

我们在前面的文章中已经通过"WordPress配置腾讯云对象存储COS之存储桶创建和设置"和"腾讯云对象存储COS绑定域名/开启CDN/设置免费SSL证书"两篇文章完成对于腾讯云对象存储COS的梳理,我们已经会在腾讯

ruanjiankaifa00 / 0评论 2020-01-10

[转]一整套WordPress模板制作的教程

WordPress基本模板文件一套完整的WordPress模板应至少具有如下文件:style.css: CSS(样式表)文件index.PHP : 主页模板archive.php : Archive/Category模板404.php : Not Foun

84911835 / 0评论 2020-01-09

Wordpress 删除 SEO 插件生成的结构化数据

但是这种结构化数据内容有限,如果需要添加自定义的结构化数据,就需要安装一些专门做结构化数据优化的插件,所以这些结构化插件都会有一个选项,就是不加载 SEO 默认的结构话数据,我们也可以将以下代码移除 SEO data structure

maccarty / 0评论 2020-01-06

如何实现WordPress不同分类则每页显示不同数量的文章

  有时我们需要让wordpress不同的分类显示不同数量的文章并分页,比如资讯的分类页显示20篇并分页,教程的分类页显示10篇并分页,要如何实现呢?随ytkah一起来看看吧!把下面的代码加入当前主题的function.php文件中。  修改代码里的$nu

84911835 / 0评论 2020-01-04

wordpress设置子主题

Template这个是你要继承的父模板的名字。Theme name这是当前主题的名字

maccarty / 0评论 2020-01-02

wordpress常见函数

判断插件是否激活,参数:插件路径。判断用户是否登录。获取后台登录地址。‘theme_location‘ => ‘‘,//导航别名。‘menu‘ => ‘‘, //期望显示的菜单。‘container‘ => ‘div‘, //容

maccarty / 0评论 2020-01-01

百度云BCC安装WordPress镜像

在BCC实例中,重装系统选择WordPress。重启 mysql 服务:service mysqld restart Php 5.3.3: 配置文件:/etc/php.ini 其中为了能够连接 mysql,还安装了 php-mysql 模块。安装完成后,查

84911835 / 0评论 2019-12-17

---迁移wordpress

CREATE DATABASE WordPressDB DEFAULT CHARACTER SET utf8 COLLATE utf8_unicode_ci;mysql> GRANT SELECT, INSERT, UPDATE, DELETE, C

86520993 / 0评论 2019-12-16

WordPress中利用AJAX技术进行评论提交的实现示例

WordPress Ajax ¤è¨èéè°° WordPress Ajax °±è°°èè Ajax¤èèè Ajax ¤¨·é褧¨èèèé°èééè¤ èè°¨èéé訨éé¨é¨·éè訷é¤èé Ajax èè¤

ppsurcao / 0评论 2019-12-15

wordpress文章数量统计函数wp_count_posts()

wp_count_posts()是用于统计指定文章类型文章数量的wordpress函数,通过wp_count_posts()函数可以统计所有类型的文章数量,如post、page或自定义文章类型post_type等,还可以计算指定状态的文章,如已发布、定时发

zcl / 0评论 2019-12-15

解决wordpress函数get_term_link()参数使用变量无效的问题

做wordpress开发时,需要通过后台设置的某个自定义分类法ID获取该分类的链接,传递ID的变量给get_term_link()函数时,却无法获取该分类的链接。通过查找资料获悉是由于get_term_link()函数和其它常用的wordpress函数不同

zcl / 0评论 2019-12-15

wordpress错误提示”抱歉,由于安全原因,这个文件类型不受支持。”解决方法

尝试使用wordpress上传.apk文件,出现了“抱歉,由于安全原因,这个文件类型不受支持。”很久之前博客吧分享过通过修改源文件增加WordPress允许上传附件格式的方法,比较粗暴,事实上可以直接通过在主题的functions.php文件中添加函数实现

WordPress / 0评论 2019-12-15

10个使用人工智能和机器学习的WordPress插件

在本文中,我们将分享一些使用人工智能和机器学习的WordPress插件,为您的网站提供更智能的功能。人工智能和机器学习是计算机技术,用于在计算机设备,应用程序,GPS设备,智能电视,家庭辅助设备等中提供更智能的解决方案。人工智能可以基于编程的智能做出决策。

渣渣 / 0评论 2019-12-14

caddy 反代wordpress + ssl证书生成

caddy 反代wordpress + ssl证书生成。添加反向代理配置。www.robinplus.com { # 同时启用 http 和 https 不会自动转跳。验证配置文件正确性。wordpress 按照自己的规划修改路径,修改docker映射端

86520993 / 0评论 2019-12-11

docker-compose (单机版的容器编排工具)

类似于ansible剧本 yml 格式。要使用这个编排工具,必须先安装。在含有docker-compose.yml的目录下执行

WordPress / 0评论 2019-12-05

Wordpress未授权查看私密内容漏洞 分析(CVE-2019-17671)

如果想搞懂哪里出问题,必然要先知道wp获取page(页面)/post(文章)的原理,摸清其中权限判断的逻辑,才能知道逻辑哪里会有问题。这里我们直接从wp的核心处理流程main函数开始看,/wp-includes/class-wp.php:main(). $

maccarty / 0评论 2019-12-04