|
|
|
|
|
|
|
|
|
|
Esecuzione di codice PHP arbitrario in WordPress La falla è dovuta al fatto che diversi campi, utilizzati durante la registrazione o l'aggiornamento del profilo utente, non sono validati correttamente prima di essere salvati negli script PHP presenti nelle directory 'wp-content/cache/userlogins/' e 'wp-content/cache/users/ ' all'interno della web root. Attraverso l'uso del carattere newline è possibile inserire ed eseguire codice PHP arbitrario. E' inoltre possibile falsificare l'indirizzo IP al momento della registrazione attraverso la manipolazione dell' header HTTP 'PC_REMOTE_ADDR'. La vulnerabilità è stata riscontrata nella versione 2.0.2. Altre versioni potrebbero essere affette dal problema. Soluzione:
|
