WordPress Türkiye Forumları » Eklentiler

fgallery ve wp-cal sql injection bulundu

(4 posts)
  • 5 ay önce KnbykL tarafından başlatıldı
  • Skyder tarafından son cevap
  • Bu konu çözülmemiş

  1. Avatar

    KnbykL
    Üye

    Tahmin ediyorum ki siz olmasanız bile tanıdıklarınızdan birisi fgallery eklentisini kurmuştur. Mailime gelen güvenlik haberlerinde wordpress'in fgallery ve wp-cal adlı eklentilerinde sql injection açığı bulunmuş.
    fgallery eklentisinde bu güvenlik açığını meydana getiren dosya ; fim_rss.php 'nin

    $cat = $wpdb->get_row("SELECT * FROM $cats WHERE id = $_GET[album]");
    $images = $wpdb->get_results("SELECT * FROM $imgs WHERE cat = $_GET[album] AND status = 'include'");

    kodunda yer alıyor.

    Wp-cal eklentisinde ise ;
    wp-cal/functions/editevent.php'nin

    $id = $_GET['id'];
    $event = $wpdb->get_row("SELECT * FROM $table WHERE id = $id");

    kodları arasında yer alıyor. Güvenliğiniz için bu eklentileri bir müddet ( yama çıkana kadar ) silin.

    Kaynak : http://www.blogguvenligi.com/?p=5

    Tarih: 5 ay #
  2. Avatar

    Skyder
    Üye

    bilgi için teşekkürler.
    FROM $table WHERE id = $id"); şu kod'lari bir dikkatli ekleseler :)
    hemen id'den admin panel'ine girme ihtimal'i war:)
    bu arada werdiğin link çalişmiyor.

    Tarih: 5 ay #
  3. Avatar

    KnbykL
    Üye

    Link düzgün çalışıyor.

    Tarih: 5 ay #
  4. Avatar

    Skyder
    Üye

    bende sayfa açılmıyor:S
    [Ulaşmaya çalıştığınız http://www.blogguvenligi.com/?p=5 adresi şu anda kullanılabilir değil. Adresi doğru yazdığınızdan emin olup tekrar deneyin.]
    diğer arkdaş'lari bilemem tabi.

    Tarih: 5 ay #

Bu konu için RSS beslemesi

Cevapla

Mesaj göndermek için giriş yapmalısınız.