N/A

importbuddy.php in the BackupBuddy plugin 1.3.4, 2.1.4, 2.2.25, 2.2.28, and 2.2.4 for WordPress does not require that authentication be enabled, which allows remote attackers to obtain sensitive information, or overwrite or delete files, via vectors involving a (1) direct request, (2) step=1 request, (3) step=2 or step=3 request, or (4) step=7 request.

N/A

N/A

WordPress中的BackupBuddy插件importbuddy.php脚本授权问题漏洞

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。 WordPress中的BackupBuddy插件1.3.4，2.1.4，2.2.25，2.2.28以及2.2.4版本中的importbuddy.php脚本中存在漏洞，该漏洞源于程序没有要求开启身份验证。通过包含(1)直接请求(2)step=1请求，(3)step=2或step=3请求或(4)step=7请求向量，远程攻击者利用该漏洞获得敏感信息或重写或删除任意文件

N/A

N/A