发布日期:2012-11-14
更新日期:2013-03-11
受影响系统:
github Advanced Custom Fields 3.5.1
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 56528
Wordpress Advanced Custom Fields 是编辑屏幕和自定义字段数据的插件。
Advanced Custom Fields 3.5.0及其他版本没有正确验证wp-content/plugins/advanced-custom-fields/core/actions/export.php内的 "acf_abspath" POST参数值,即用于包含文件,可被利用包含远程资源内的任何文件。
<*来源:Kevin Biloski
链接:
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
github
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://github.com/elliotcondon/acf/