前言: 漏洞范围范围:simple socail buttons v2.0.4到v2.0.22之间的所有版本 利用条件,wordpress的普通用户 漏洞细节:该插件缺少权限的检查,非管理管权限执行管理员操作,比如修改wp_options表. oox1: 先创建两个用户以admin权限登录 后台安装插件simple socail buttons 然后在以普通权限用户登录 00x2: 搭建环境 wordpress下载 https://cn.wordpress.org/wordpress-5.0.3…

漏洞名称: WordPress RokStories插件‘thumb.php’多个安全漏洞 CNNVD编号: CNNVD-201309-438 发布时间: 2013-09-26 更新时间: 2013-09-26 危害等级:    漏洞类型: 其他 威胁类型: 远程 CVE编号:   漏洞来源: Must Live WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站.RokStories是其中的一个用于显示文…

漏洞名称: WordPress RokMicroNews插件‘thumb.php’ 多个安全漏洞 CNNVD编号: CNNVD-201309-384 发布时间: 2013-09-24 更新时间: 2013-09-24 危害等级:    漏洞类型:   威胁类型: 远程 CVE编号:   漏洞来源: Must Live WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站.RokMicroNews是其中的一个内…

漏洞名称: WordPress RokIntroScroller插件‘thumb.php’多个安全漏洞 CNNVD编号: CNNVD-201309-383 发布时间: 2013-09-24 更新时间: 2013-09-24 危害等级:    漏洞类型:   威胁类型: 远程 CVE编号:   漏洞来源: Must Live WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站.RokIntroScroller…

漏洞名称: WordPress RokNewsPager插件‘thumb.php’多个安全漏洞 CNNVD编号: CNNVD-201309-369 发布时间: 2013-09-24 更新时间: 2013-09-24 危害等级:    漏洞类型:   威胁类型: 远程 CVE编号:   漏洞来源: Must Live WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站.RokNewsPager是其中的一个文章…

漏洞名称: WordPress Pie Register插件‘wp-login.php’多个跨站脚本漏洞 CNNVD编号: CNNVD-201307-255 发布时间: 2013-07-31 更新时间: 2013-07-31 危害等级: 低危   漏洞类型: 跨站脚本 威胁类型: 远程 CVE编号: CVE-2013-4954 漏洞来源: gravitylover WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人…

今天我们将讨论在WordPress插件WordPress插件与重点会员简化v1.58作为这个剧本的创作时间不打补丁的扶贫开发实践.脆弱脚本如下: CVE-ID:cve-2017-1002008 当然,也可以利用Google来找 inurl:/wp-content/plugins/membership-simplified-for-oap-members-only 问题 下面是上面脚本的一些问题: ①该脚本不检查有效登录WordPress的用户,也不保护自己免受直接访问-这使得它任意(不受限制)的…

漏洞版本: WordPress 3.5.1 漏洞描述: WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL 数据库的服务器上架设自己的网志.也可以把 WordPress 当作一个内容管理系统(CMS)来使用. WordPress及插件Lightbox Plus ColorBox中simple html dom类存在程序逻辑错误,攻击者可通过控字符串执行任意函数,远程执行命令. <* 参考 http://0day5.com/archives/977http://…

这篇文章是写给自己的. 周三的时候我在维护公司的一个wordpress项目页面时发现了一个非常奇怪的情况:当我尝试更新网站上的一个页面后,在wordpress后台的编辑器中发现其内容并没有按我预期的将图片的网址替换下来(网站开启了百度云插件,插件会抓取文章中的图片,然后将图片上传至百度云,并将文章中的地址替换),但是,我查看前台的页面却发现页面显示时正常的.检查页面中的图片网址也是做过替换的,总之一句话,就是前台文章展示页和后台编辑器中的内容不一致.这个bug真诡异,下面就把排查这个bug的过程…

1.Akismet插件 Akismet是全球最受欢迎的反垃圾插件,专为对抗"博客spam"."评论spam"而生.Akismet是WordPress官方插件之一.使用Akismet前你需要在WordPress.com上注册一个账号然后利用免费API密钥登记Akismet. 下载Akismet插件 2.Jetpack插件 JetPack是一款新推出的WordPress官方插件.JetPack插件提供多项服务,能够让WordPress独立博客享受到WordPress.c…