WordPress Community Events SQL注入漏洞(CVE-2015-3313)

WordPress Community Events插件多个SQL注入漏洞(CVE-2015-3313)

发布日期：2015-04-14
更新日期：2015-05-10
受影响系统：
WordPress Community Events 1.3.5

描述：

BUGTRAQ ID: 74234
CVE(CAN) ID: CVE-2015-3313
WordPress Community Events插件事件计划时间表插件。
WordPress Community Events 1.3.5版本的搜索功能存在sql注入漏洞，攻击者利用此漏洞可获取敏感信息。
<*来源：Hannes Trunde
*>
测试方法：
警告
以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！
Hannes Trunde （）提供了如下测试方法：
http://www.site.com/?page_id=2&eventyear=2015 AND 1=0 )–&dateset=on&eventday=1
建议：
厂商补丁：
WordPress
———
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://wordpress.org/plugins/community-events/
参考：https://www.exploit-db.com/exploits/36805/