漏洞wordpress

p本周漏洞基本情况本周信息安全漏洞威胁整体评价级别为中.
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞119个,其中高危漏洞38个、中危漏洞75个、低危漏洞6个.
上述漏洞中,可利用来实施远程攻击的漏洞有114个.
本周收录的漏洞中,已有67个漏洞由厂商提供了修补方案,建议用户及时下载补丁更新程序,避免遭受网络攻击.
本周互联网上出现"FirePassSSLVPN'refreshURL'参数URI重定向漏洞"、"VAMShopSQL注入漏洞"等的零日攻击代码,请使用相关产品的用户注意加强防范.
成员单位报送漏洞统计本周,共6家成员单位和多个合作伙伴报送了本周收录的全部119个漏洞.
各单位报送情况如表1所示.
其中,启明星辰、绿盟科技等单位报送数量较多.
此外,恒安嘉新公司和一位个人报送者向CNVD提交了9个原创漏洞.
报送单位或个人漏洞报送数量原创漏洞数量启明星辰820绿盟科技560安天实验室380天融信430恒安嘉新498安氏领信70个人报送者11报送总计2769录入总计119(去重)9表1成员单位上报漏洞统计表CNVD整理和发布的漏洞涉及Drupal、WordPress、Adobe多家厂商的产品,部分国家信息安全漏洞共享平台(CNVD)信息安全漏洞周报2012年10月22日-2012年10月28日2012年第42期漏洞数量按厂商统计如表2所示.
序号厂商(产品)漏洞数量所占比例1Drupal1311%2WordPress119%3Adobe76%4ArialSoftwareLLC54%5phpMyBitTorrent43%6Microsoft32%7IBM32%8InterspirePty.
Ltd.
32%9Linux.
21%10F521%11其它6659%表2漏洞产品涉及厂商分布统计表漏洞按影响类型统计本周,CNVD收录了119个漏洞.
其中操作系统漏洞3个,应用程序漏洞68个,WEB应用漏洞43个,网络设备漏洞3个,数据库漏洞1个,安全产品漏洞1个.
漏洞影响对象类型漏洞数量操作系统漏洞3应用程序漏洞68WEB应用漏洞43网络设备漏洞3安全产品漏洞1数据库漏洞1表3漏洞按影响类型统计表图1本周漏洞按影响类型分布本周涉及电信行业漏洞信息本周,CNVD收录了3个网络设备漏洞:多个HP产品信息泄露漏洞、F5FirePass远程SQL注入漏洞、BroadcomBCM4325和BCM4329无线芯片越界读拒绝服务漏洞.
其中,"多个HP产品信息泄露漏洞"和"F5FirePass远程SQL注入漏洞"的综合评级均为"高危".
相关厂商已经修复了上述漏洞.
图2网络设备漏洞统计本周重要漏洞信息本周,CNVD整理和发布以下重要安全漏洞信息.
1、Exim邮件服务软件堆缓冲区溢出漏洞Exim是由英国剑桥大学的研究组织开发的一款开源邮件服务软件,主要用于搭建邮件服务器或用作接收和发送邮件的客户端代理程序.
该软件由于配置简单,功能灵活,可运行于大多数类UNIX系统上,如:Solaris、AIX、Linux等,近年来在国内外应用较为广泛.
一些厂商发行的Linux操作系统版本中也默认集成了Exim软件或Exim软件源,如:Redhat、Debian、Ubuntu等.
CNVD收录的相关漏洞包括:Exim堆缓冲区溢出漏洞,漏洞的综合评级为"高危".
Exim默认安装下集成启用的用于支持DKIM(域名密钥识邮件标准)的功能模块中存在漏洞,由于该模块未能正确处理相应参数,导致堆缓冲区溢出.
攻击者可以向服务器发起远程攻击,严重的可以获得服务器主机管理权限.
目前,厂商已经修复了上述漏洞,CNVD提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/sites/main/preview/ldgg_preview.
htmtid=599952、Adobe产品安全漏洞AdobeShockwavePlayer是一款播放器插件.
本周,该产品被披露存在多个安全漏洞,攻击者利用漏洞可执行任意代码.
CNVD收录的相关漏洞包括:AdobeShockwavePlayer索引错误漏洞、AdobeShockwavePlayer缓冲区溢出漏洞(CNVD-2012-15426、CNVD-2012-15428、CNVD-2012-15429、CNVD-2012-15431、CNVD-2012-15433).
上述漏洞的综合评级均为"高危".
目前,厂商已经修复了上述漏洞,CNVD提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/sites/main/preview/ldgg_preview.
htmtid=59859http://www.
cnvd.
org.
cn/sites/main/preview/ldgg_preview.
htmtid=59861http://www.
cnvd.
org.
cn/sites/main/preview/ldgg_preview.
htmtid=59862http://www.
cnvd.
org.
cn/sites/main/preview/ldgg_preview.
htmtid=59864http://www.
cnvd.
org.
cn/sites/main/preview/ldgg_preview.
htmtid=59866http://www.
cnvd.
org.
cn/sites/main/preview/ldgg_preview.
htmtid=598653、WordPress插件安全漏洞WordPress是一款使用PHP语言开发的内容管理系统.
本周,该产品的多个插件被披露存在多个安全漏洞,攻击者利用漏洞可获得敏感信息,发起跨站脚本攻击和浏览器点击劫持攻击,执行任意代码.
CNVD收录的相关漏洞包括:WordPress插件WhiteLabelCMS跨站脚本漏洞、WordPress插件WhiteLabelCMS跨站请求伪造漏洞、WordPress插件Wordfence'email'跨站脚本漏洞WordPress插件ThankYouCounterButton'paged'跨站脚本漏洞、WordPress插件ZingiriBookings'error'跨站脚本漏洞、WordPress插件ZingiriFormBuilder'error'跨站脚本漏洞、WordPressSpiderCalendar插件'many_sp_calendar'跨站脚本漏洞、WordPress插件UnGallery'search'参数远程任意命令执行漏洞等.
其中,"WordPress插件UnGallery'search'参数远程任意命令执行漏洞"的综合评级为"高危".
目前,厂商已经修复了上述漏洞,CNVD提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/sites/main/preview/ldgg_preview.
htmtid=59824http://www.
cnvd.
org.
cn/sites/main/preview/ldgg_preview.
htmtid=59823http://www.
cnvd.
org.
cn/sites/main/preview/ldgg_preview.
htmtid=59831http://www.
cnvd.
org.
cn/sites/main/preview/ldgg_preview.
htmtid=59869http://www.
cnvd.
org.
cn/sites/main/preview/ldgg_preview.
htmtid=59870http://www.
cnvd.
org.
cn/sites/main/preview/ldgg_preview.
htmtid=59868http://www.
cnvd.
org.
cn/sites/main/preview/ldgg_preview.
htmtid=59911http://www.
cnvd.
org.
cn/sites/main/preview/ldgg_preview.
htmtid=598554、IBM产品安全漏洞IBMXIVStorageSystem是海量磁盘存储系统;IBMDB2UniversalDatabaseServer是一款大型的商业关系数据库;IBMAIX是一款商业性质的操作系统.
本周,上述IBM产品被披露存在多个安全漏洞,攻击者利用漏洞可访问其他受限文件,触发基于栈的缓冲区溢出,发起拒绝服务攻击.
CNVD收录的相关漏洞包括:IBMAIXFTP客户端安全绕过漏洞、IBMDB2产品远程栈缓冲区溢出漏洞、多个IBMXIVStorageSystem产品拒绝服务漏洞.
其中,"IBMDB2产品远程栈缓冲区溢出漏洞"和"多个IBMXIVStorageSystem产品拒绝服务漏洞"的综合评级均为"高危".
厂商已经修复了上述漏洞,CNVD提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/sites/main/preview/ldgg_preview.
htmtid=59790http://www.
cnvd.
org.
cn/sites/main/preview/ldgg_preview.
htmtid=59789http://www.
cnvd.
org.
cn/sites/main/preview/ldgg_preview.
htmtid=597925、InterspireEmailMarketer安全漏洞InterspireEmailMarketer是一个基于Web的电子邮件营销解决方案.
本周,该产品被披露存在多个漏洞,远程攻击者利用漏洞可访问或修改数据,或利用基础数据库中的潜在漏洞,执行恶意HTML和脚本代码.
CNVD收录的相关漏洞包括:InterspireEmailMarketerSQL注入漏洞、InterspireEmailMarketer存在多个HTML注入漏洞、InterspireEmailMarketer'Action'跨站脚本漏洞.
其中,"InterspireEmailMarketerSQL注入漏洞"的综合评级为"高危".
厂商尚未发布上述漏洞的修补程序,CNVD提醒广大用户随时关注厂商主页以获取最新版本,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/sites/main/preview/ldgg_preview.
htmtid=59957http://www.
cnvd.
org.
cn/sites/main/preview/ldgg_preview.
htmtid=59956http://www.
cnvd.
org.
cn/sites/main/preview/ldgg_preview.
htmtid=599556、VAMShopSQL注入漏洞VAMShop是一款基于WEB的应用程序.
本周,VAMShop被披露存在一个综合评级为"高危"的SQL注入漏洞.
攻击者利用漏洞可获得数据库信息或控制应用系统.
目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序.