PHP xmlrpc扩展空指针引用拒绝服务漏洞
(window.slotbydup=window.slotbydup || []).push({
id: '2611110',
container: s,
size: '240,200',
display: 'inlay-fix'
您当前位置： &
[ 所属分类
影响版本: 5.3.1漏洞描述:PHP是广泛使用的通用目的脚本语言，特别适合于Web开发，可嵌入到HTML中。PHP所使用的xmlrpc扩展在解码畸形xml-rpc请求时存在空指针引用错误。如果请求为有效的xml但没有包含预期的标签，xmlrpc_decode_request就会生成分段错误并导致崩溃。&*参考 http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=573573/lists/oss-security//5*&测试方法:[www.sebug.net]本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!&?php$req = &?xml version="1.0"?&&methodCall& &/methodCall&; $result = xmlrpc_decode_request( $req, $frop );?&SEBUG安全建议:厂商补丁：PHP---目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://www.php.net//
本文业界资讯相关术语:网络安全论文 网络安全密钥 网络安全工程师 网络安全技术与应用 网络安全概念股 网络安全知识 网络安全宣传周 网络安全知识竞赛 网络安全事件
转载请注明本文标题：本站链接：
分享请点击：
1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责；
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性，不作出任何保证或承若；
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
你必须要足够努力，才能让别人觉得你毫不费力。
手机客户端
，专注代码审计及安全周边编程，转载请注明出处：http://www.codesec.net
转载文章如有侵权，请邮件 admin[at]codesec.net推荐这篇日记的豆列
······Wordpress xmlrpc.php脚本远程SQL注入漏洞
涉及程序：
Wordpress xmlrpc.php脚本远程SQL注入漏洞
WordPress是一款免费的论坛Blog系统。
WordPress的xmlrpc.php脚本实现上存在输入验证漏洞，远程攻击者可能利用此漏洞非授权操作服务器上的后台数据库。
WordPress的xmlrpc.php脚本中没有正确验证对wp.suggestCategories方式的输入，允许攻击者通过注入任意SQL代码控制SQL查询，导致检索用户名和口令哈希。但成功攻击要求有效的用户凭据并了解数据库表格前缀。
/advisories/25552/
&&&& http://trac.wordpress.org/ticket/4348
受影响系统：
WordPress WordPress 2.2
不受影响系统：
WordPress WordPress 2.2.1
攻击方法：
以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！
/exploits/4039
解决方案：
厂商补丁：
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
http://trac.wordpress.org/changeset/5570
顶一下(0) 踩一下(0)
热门标签：}