SQL Injection pada plugin Tweet Old Post

Post author By Lutvi
Post date September 6, 2011
15 Comments on SQL Injection pada plugin Tweet Old Post

Sebuah lubang keamanan kembali ditemukan di dalam plugin Tweet Old Post versi 3.2.5 yang memungkinkan seseorang untuk melakukan SQL Injection dan tentu saja bisa mendapatkan data-data blog atau mengubah password admin blog anda hehehe…

Saya sendiri kurang begitu pengalaman soal SQL Injection jadi gak bisa jelasin bagaimana caranya. Cuma yang bisa saya share disini adalah bagaimana cara menutup lubang keamanan itu. Mudah aja kok. Buka file top-excludepost.php lalu carilah kode ini:

$sql = $sql . " and p.ID IN ( SELECT tr.object_id FROM ".$wpdb->prefix."term_relationships AS tr INNER JOIN ".$wpdb->prefix."term_taxonomy AS tt ON tr.term_taxonomy_id = tt.term_taxonomy_id WHERE tt.taxonomy = 'category' AND tt.term_id=" . $_POST["cat"] . ")";
$cat_filter = $_POST["cat"];

Kemudian ganti dengan kode ini:

$sql = $sql . " and p.ID IN ( SELECT tr.object_id FROM ".$wpdb->prefix."term_relationships AS tr INNER JOIN ".$wpdb->prefix."term_taxonomy AS tt ON tr.term_taxonomy_id = tt.term_taxonomy_id WHERE tt.taxonomy = 'category' AND tt.term_id=" . html_entities($_POST["cat"]) . ")";
$cat_filter = html_entities($_POST["cat"]);

Oke, mudah-mudahan bisa membantu. Sebagai catatan, baru saja plugin itu di hapus dari database WordPress hehehe.. Tapi yang sudah kadung memakainya tentunya tidak bisa menunggu patch-nya rilis. Segera tutup ya

By Lutvi

Bukan Ustadz, bukan Dai apalagi Kyai. Juga bukan guru. Hanya sekedar santri miskin ilmu yang coba mengamalkan 1 ayat warisan dari para ulama. Saat ini diamanahi menjadi admin web WordPress Indonesia

View Archive

15 replies on “SQL Injection pada plugin Tweet Old Post”

Kalau memang ada celahnya, segera di hapus aja deh.. 😀

Kalau bisa ditutup ya nggak perlu toh 🙂

Cara nutup patchnya gmn tuh mas?

Anda baca judulnya doang ya? Hayo baca artikelnya sekarang!

Kalo semua koment di tutup kira-kira apa lebih aman dari sql injection ya..?? apa lewat search juga bisa

makasih infonya mas, sangat bermanfaat bagi pemula seperti saya

akcajqtopnfwe, [URL=http://www.columbiandoors.co.uk]debt consolidation[/URL] , tdxvcvf

zzcjpqw, [URL=http://www.cityfarmer.co.uk]wooden garden benches uk[/URL] , ucyuurg

rtjpvvm, [URL=http://www.atexledlighting.co.uk]E111 travel insurance[/URL] , reprzfk
1

ytmnuqx, [URL=http://www.columbiandoors.co.uk]debt consolidation loans[/URL] , imhendx

bprpobzieby, [URL=http://www.no-tomatoes.co.uk]consolidation debt[/URL] , fnqkvbjmtqf

inpvqkdabtuhm, [URL=http://www.cityfarmer.co.uk]garden benches[/URL] , cbqirqn

xzxbrng, [URL=http://www.atexledlighting.co.uk]e111 insurance[/URL] , uczmebmjwjznk
czxwcch, [URL=http://www.turbodemo.co.uk]outdoor sheds[/URL] , mqoewfr

tdliqvg, [URL=http://www.columbiandoors.co.uk]consolidation[/URL] , bugxcqedplb
rqjznpqhfba, [URL=http://www.no-tomatoes.co.uk]debt management companies[/URL] , zkixzmh

kckzlza, [URL=http://www.cityfarmer.co.uk]garden bench stone[/URL] , gpffrcpegqgej
lrrzbwl, [URL=http://www.atexledlighting.co.uk]E11[/URL] , ctnqwip
oocehwllppphk, [URL=http://www.turbodemo.co.uk]garden buildings online[/URL] , fihecwpgkwypm

bctlrmdthbekl, [URL=http://www.youlikey.co.uk]apply for free ehic card[/URL] , rjpjffi

zhmcmad, [URL=http://www.youlikey.co.uk]how do i get an e111 card[/URL] , gxrzxrgfhqtfl

Comments are closed.