泉哥博客
记录一切

wordpress-CVE-2015-3300

文章目录[隐藏]

CVE简介


CVE 的英文全称是“Common Vulnerabilities & Exposures”公共漏洞和暴露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题。

CVE-2015-3300

适用于WordPress 1.3.9.3之前的TheCartPress电子商务购物车(也称为WordPress专业电子商务插件)插件中的多个跨站点脚本(XSS)漏洞允许远程攻击者通过(1)billing_firstname,(2)注入任意Web脚本或HTML。 billing_lastname,(3)billing_company,(4)billing_tax_id_number,(5)billing_city,(6)billing_street,(7)billing_street_2,(8)billing_postcode,(9)billing_telephone_1,(10)billing_telephone_2,(11)billing_fax,(12) shipping_firstname,(13)shipping_lastname,(14)shipping_company,(15)shipping_tax_id_number,(16)shipping_city,(17)shipping_street,(18)shipping_street_2,(19)shipping_postcode,(20)shipping_telephone_1,(21)shipping_telephone_2或(22) )shipping_fax参数,用于购物车/结帐/;admin / AddressesList中的(23)search_by参数。php页面到wp-admin / admin.php; (24)address_id,(25)address_name,(26)名字,(27)姓氏,(28)街道,(29)城市,(30)邮政编码或(31)email参数,位于admin / AddressEdit.php页面中到wp-admin / admin.php; admin / AssignedCategoriesList.php页面中的(32)post_id或(33)rel_type参数到wp-admin / admin.php;或admin / CustomFieldsList.php页面中的(34)post_type参数更改为wp-admin / admin.php。

原文链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3300

赞(0) 打赏
资源下载使用须知:
该资源由小泉博客(www.x-66.com)搜索整理并发布.
该资源请在遵守国家法律法规的前提下使用,请勿将该资源应用在一切违反国家法律法规的用途上.
用户下载该资源由于使用在有违背国家法律法规的用途上所产生的任何相关责任都与本站无关.
如该资源有侵犯您个人有关权益和隐私的行为,请联系我们的网站管理员,我们会第一时间删除该资源.
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容.
未经允许不得转载:小泉博客 » wordpress-CVE-2015-3300

觉得文章有用就打赏一下文章作者

微信扫一扫打赏