阿里云漏洞库

漏洞描述

WordPress是一种使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。 WordPress的WPTouch插件的wptouch/ajax.php中存在SQL注入漏洞。远程攻击者可借助id参数执行任意SQL命令。

解决建议

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本： http://wordpress.org/

参考链接
http://www.exploit-db.com/exploits/18039

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	bravenewcode	wptouch	1.0	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.1	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.2	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.3.5	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.4	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.5	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.6	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.7.5	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.8.9.1	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.8.9.3	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.9	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.9.1	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.9.10	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.9.11	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.9.12	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.9.13	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.9.14	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.9.15	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.9.16	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.9.17	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.9.18	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.9.19	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.9.19.1	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.9.19.2	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.9.19.3	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.9.19.4	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.9.19.5	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.9.20	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.9.21	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.9.21.1	-
	运行在以下环境
	应用	bravenewcode	wptouch	1.9.22	-
	运行在以下环境
应用	bravenewcode	wptouch	1.9.22.1	-
运行在以下环境
应用	bravenewcode	wptouch	1.9.23	-
运行在以下环境
应用	bravenewcode	wptouch	1.9.24	-
运行在以下环境
应用	bravenewcode	wptouch	1.9.25	-
运行在以下环境
应用	bravenewcode	wptouch	1.9.26	-
运行在以下环境
应用	bravenewcode	wptouch	1.9.5	-
运行在以下环境
应用	bravenewcode	wptouch	1.9.6	-
运行在以下环境
应用	bravenewcode	wptouch	1.9.7.6	-
运行在以下环境
应用	bravenewcode	wptouch	1.9.7.7	-
运行在以下环境
应用	bravenewcode	wptouch	1.9.8	-
运行在以下环境
应用	bravenewcode	wptouch	1.9.8.1	-
运行在以下环境
应用	bravenewcode	wptouch	1.9.8.2	-
运行在以下环境
应用	bravenewcode	wptouch	1.9.8.3	-
运行在以下环境
应用	bravenewcode	wptouch	1.9.9	-
运行在以下环境
应用	bravenewcode	wptouch	1.9.9.1	-
运行在以下环境
应用	bravenewcode	wptouch	1.9.9.2	-
运行在以下环境
应用	bravenewcode	wptouch	1.9.9.3	-
运行在以下环境
应用	bravenewcode	wptouch	1.9.9.4	-
运行在以下环境
应用	bravenewcode	wptouch	1.9.9.5	-
运行在以下环境
应用	bravenewcode	wptouch	1.9.9.6	-
运行在以下环境
应用	bravenewcode	wptouch	1.9.9.7	-
运行在以下环境
应用	bravenewcode	wptouch	1.9.9.8	-
运行在以下环境
应用	wordpress	wordpress	*	-

攻击路径

网络
攻击复杂度

低
权限要求

无
影响范围

N/A
用户交互

无
可用性

部分地
保密性

部分地
完整性

部分地

CWE-ID	漏洞类型
CWE-89	SQL命令中使用的特殊元素转义处理不恰当（SQL注入）

Bravenewcode wptouch 1.9.22 JAXP SQL注入

漏洞描述

解决建议

参考链接

受影响软件情况