VULHUB ™

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站。IndiaNIC Testimonial是其中的一个博客评论插件。 WordPress的IndiaNIC Testimonial插件2.2版本中存在多个跨站请求伪造漏洞。远程攻击者可利用这些漏洞劫持通过授权的管理员发送的多个请求，包括：(1)通过iNIC_testimonial_save操作添加一个证明；(2)通过iNIC_testimonial_save_listing_template操作添加列出模板；(3)通过iNIC_testimonial_save_widget操作添加窗口小工具模板。借助多个参数传递到wp-admin/admin-ajax.php脚本利用该漏洞插入跨站脚本序列。这些参数包括：project_name，project_url，client_name，client_city，client_state，description，tags，video_url，is_featured，title，widget_title，no_of_testimonials，filter_by_country，filter_by_tags，widget_template。

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站。IndiaNIC Testimonial是其中的一个博客评论插件。 WordPress的IndiaNIC Testimonial插件2.2版本中存在多个跨站请求伪造漏洞。远程攻击者可利用这些漏洞劫持通过授权的管理员发送的多个请求，包括：(1)通过iNIC_testimonial_save操作添加一个证明；(2)通过iNIC_testimonial_save_listing_template操作添加列出模板；(3)通过iNIC_testimonial_save_widget操作添加窗口小工具模板。借助多个参数传递到wp-admin/admin-ajax.php脚本利用该漏洞插入跨站脚本序列。这些参数包括：project_name，project_url，client_name，client_city，client_state，description，tags，video_url，is_featured，title，widget_title，no_of_testimonials，filter_by_country，filter_by_tags，widget_template。