WordPress Store Locator Plus 插件'query'参数SQL注入漏洞

发布日期：2013-01-09
更新日期：2013-01-11

受影响系统：
WordPress Store Locator Plus Plugin 3.x
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 57222
 
WordPress Store Locator Plus插件可以在站点上放置一个商铺搜查程序。
 
WordPress Store Locator Plus 3.8.6及之前版本没有正确验证wp-content/plugins/store-locator-le/downloadcsv.php内的"query"参数值，通过注入任意SQL代码，可被利用操作SQL查询。
 
<*来源：vendor
 
  链接：
       
 *>

建议：
--------------------------------------------------------------------------------
厂商补丁：
 
WordPress
 ---------
 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：