WordPress Social Warfare插件远程代码执行漏洞深度分析
一、背景介绍
social-warfare是一款 WordPress社交分享按钮插件。 不同于大多数WordPress社交分享插件,social-warfar最大的优势在于其轻便性与高效性。它不会像其他共享插件一样减慢网站速度,这也是很多用户使用其作为自己网站社交分享插件的原因。
该插件被wordpress用户广泛的应用: 从官网看,该插件官方的统计是超过90万的下载量
1.1漏洞描述
social-warfare <= 3.5.2版本中,程序没有对传入参数进行严格控制以及过滤,导致攻击者可构造恶意payload,无需后台权限,直接造成远程命令执行漏洞。
攻击成[......]