WordPress User Photo ‘user-photo.php’任意文件上传漏洞

最新推荐文章于 2025-09-05 16:58:34 发布
最新推荐文章于 2025-09-05 16:58:34 发布
阅读量149 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: php 数据库
原文链接:http://www.cnblogs.com/security4399/archive/2013/03/27/2985193.html

漏洞名称:WordPress User Photo ‘user-photo.php’任意文件上传漏洞
CNNVD编号:CNNVD-201303-530
发布时间:2013-03-27
更新时间:2013-03-27
危害等级: 
漏洞类型:输入验证
威胁类型:远程
CVE编号: 
漏洞来源:ADVtools

WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。
        WordPress User Photo插件0.9.4和之前版本中的user-photo.php中存在任意文件上传漏洞,该漏洞源于应用程序没有充分验证用户提供的输入。攻击者利 用该漏洞在web服务器进程上下文中上传并运行任意代码,有助于未授权访问或权限提升,也可能存在其他攻击。

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
        http://wordpress.org/extend/plugins/user-photo/

来源: BID
名称: 46430
链接:http://www.securityfocus.com/bid/46430

转载于:https://www.cnblogs.com/security4399/archive/2013/03/27/2985193.html

WordPress 未授权本地文件包含漏洞(CVE-2025-2294)
m0_50125527的博客
04-03 199
Kubio AI Page Builder 是 WordPress 平台上一款基于人工智能的现代化建站工具,专为无代码用户和开发者设计。该插件深度融合 AI 生成技术,提供拖拽式可视化编辑器,支持智能布局建议、实时内容生成和自动化设计优化,用户可通过自然语言指令快速生成响应式网页、区块模板和动态内容。
修复黑客利用Freemius类绕过过身份验证的选项(漏洞-wordpress)
jimbooks的博客
08-01 1133
如果浏览不顺畅请到原文章出处:https://www.sky8g.com/technology/2947/ 请注意可能会提示风险,这是csdn官网如果不是他们的网址,其他的网址都会提示有风险,这是优快云网站设置的问题,本网站全部文章为免费技术分享,请放心访问,无需担心。 原文章出处:https://www.sky8g.com/technology/2947/ 此篇文章是由SKY8G网作者原...
SQLserver C#将图片以二进制方式存储到数据库,再从数据库读出图片
你要明白,任何问题都不是孤立存在的,一定有人曾经遇到过,并且已经有更好的解决办法了,只是我还不知道。我不应该在黑暗中独自前行,去重新发明轮子,也许我的顿悟,只是别人的基本功!我应该要站在巨人的肩膀上,学习更成熟的经验和方法,然后再来解决这个问题
07-05 3891
一 存储到数据库1、建立数据表UserPhoto userID为varchar(50)    设置为标识列unique不能重复   alter table UserPhoto add  unique(UserID) photo为image2、写一个类,主要有三个方法(1)连接数据库的类ConnectionOpen()(2)判断图片类型转换byte[]数组ImageToBytes(Image ima...
CSS Font-awesome字体图标库文件
weixin_44240448的博客
08-05 1850
css font-awesome 字体图标库文件
Font Awesome:图标字体 font-awesome.css
diaoyong1762的博客
08-11 1870
https://www.iteblog.com/archives/1099 标识符对应的小图标 /*! * Font Awesome 4.5.0 by @davegandy - http://fontawesome.io - @fontawesome * License - http://fontawesome.io/license (Font: SIL OFL 1.1, C...
photo up size php,wordpress函数add_image_size()用法示例
weixin_39859052的博客
03-17 192
add_image_size( string $name, int $width, int $height, bool|array $crop = false )注册一个新的图片裁切尺寸。描述生成的图像是否的裁剪取决于 $crop 的值:如果是 false,也就是默认值,图片不会被裁切如果是一个类似 array( x_crop_position, y_crop_position ) 的数组:...
实战:k8s之Longhorn备份恢复-2022.2.26
weixin_39246554的博客
02-26 2042
目录 文章目录目录实验环境实验软件1、备份恢复📍 案例演示:longhorn备份恢复(成功测试)1️⃣ 手动快照2️⃣ 周期性快照和备份3️⃣ 使用 Kubernetes 的 StorageClass 来配置定时快照4️⃣ 使用备份卷2、ReadWriteMany📍 案例演示:LongHorn的RWX功能测试(测试成功)QA📍 注意:`LongHorn Engine`📍 LongHorn的RWX使用场景:wordpress关于我最后 实验环境 实验环境: 1、win10,vmwrokstation虚机; .
WordPress如何添加用户自定义上传头像功能 纯代码实现
仿站、源码搭建/迁移技术博客
04-14 1560
使用WordPress建站的朋友应该知道,WordPress本身是没有上传自定义头像功能的,如果要更换头像,步骤是非常麻烦的。 而在我们开发一款WordPress主题中,特别是多用户的主题,让注册用户可以自定义上传头像是非要有必要的;那么我们是否能在WordPress后台添加一个用户自定义上传头像的功能? 新建两个文件放入到主题根目录 simple-local-avatars.php &...
um-user-photos-2.0.4_newvop_WordPress_ultimatemember_Um..._UM556
09-29
ultimate member photo
wordpress 垂直越权(CVE=2021-21389)漏洞复现详细教程
hp.puppy的博客
04-18 2734
wordpress 垂直越权(CVE=2021-21389)漏洞复现详细教程 wordpress 注册绕过 wordpress 提权admin wordpress 文件上传
香港云主机常见使用问题汇总
SonderCloud_的博客
09-04 529
排查主机与网站状态:确认云主机正常运行(未关机 / 被封禁),且网站服务(如 Nginx、Apache)已启动,若服务异常,重启服务或重新部署。本文主要为初次或正在接触香港云主机的用户介绍,对于香港云服务器的一些问题进行解答,帮助用户更好的了解香港云主机,熟悉香港云主机。·核对端口与防火墙:确保网站使用的端口(如 80、443)已开放,同时检查云主机防火墙和服务商安全组规则,放行对应端口。·检查系统与软件:排查是否有系统漏洞、驱动异常,或第三方软件(如防火墙、监控工具)冲突,及时更新系统、卸载问题软件。
Web性能调优指南:Nginx, PHP-FPM与MySQL配置优化实战
Clownseven的博客
09-04 651
服务器配置不低,网站却依然卡顿?问题可能出在软件的“默认设置”上!本篇深度调优指南,将带你化身“性能工程师”,逐层优化你的Web技术栈。学习如何精细化配置Nginx的并发与缓存、计算PHP-FPM的最佳进程数,以及设置MySQL的核心缓冲池,彻底释放服务器潜力。
[CISCN2019 华北赛区 Day1 Web1]Dropbox
2301_79806187的博客
09-03 554
phar反序列化,文件上传,文件下载源码泄漏
Get the pikachu靶场SSRF漏洞 (windows环境)
2301_77012231的博客
09-03 210
现有 http://127.0.0.1/ssrf.php?其中命令和参数不是必须的。
使用自定义固定公网URL地址远程访问公司内网OA办公系统,本地无需公网IP和专线让外网访问
最新发布
csghdn的博客
09-05 987
外地人员远程访问公司本地内网部署的OA等应用系统是个很常见的需求。各类办公系统成为企业提升运营效率工具,OA、CRM、ERP、财务管理系统等信息化平台,如用友、金蝶、鼎捷、智邦国际等,赋能企业流程优化与效能。这些系统通常包含企业的关键运营数据,因此许多企业将它们部署在内部本地自己的物理服务器上,但随之而来的是如何满足分支机构和外出员工的远程访问需求。在数字化办公与智能设备普及的今天,外网访问内网已成为企业远程协作、个人设备互联的核心需求。在外网的人员如何访问公司内网 OA、ERP 网站?
phpPHP 8 新特性深度解析与实战应用:提升开发效率的关键技巧
panjiapengfly的博客
09-03 837
PHP 8 作为一款里程碑式的版本,通过联合类型、命名参数、空安全运算符等新特性,极大地提升了 PHP 的开发体验和代码健壮性;同时,JIT 编译器的引入和性能优化,让 PHP 在处理高性能需求的场景中更具竞争力。​作为 PHP 开发者,我们应积极拥抱这些新特性,将其应用到实际开发中,以提高开发效率和代码质量。同时,也要关注 PHP 社区的发展动态,不断学习新的技术和最佳实践,如 PHP 8.1、8.2 版本中引入的枚举类型、只读属性等新特性,持续提升自己的技术水平。​。
HTB 赛季8靶场 - Guardian
weixin_44368093的博客
09-04 1086
各位好,最近我的kali崩掉了,崩掉了,建议大家避K 番茄C盘瘦身,这家伙修改了我的avrt.dll文件,导致virtualbox不接受我的avrt.dll文件的签名了,从而导致virtualbox的虚拟机环境全崩无法开机。弄了几天,真是造孽啊!
Soaz家具店WordPress主题2022新版功能展示及插件下载
- theme:这可能包含WordPress主题的实际文件,用户可以上传WordPress安装中使用。 - Licensing:这可能包含了主题的授权协议文件,说明了该主题的使用条件、许可范围以及任何相关的法律声明。 7. 最新版完整功能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值