Sebuah lubang keamanan kembali ditemukan di dalam plugin Tweet Old Post versi 3.2.5 yang memungkinkan seseorang untuk melakukan SQL Injection dan tentu saja bisa mendapatkan data-data blog atau mengubah password admin blog anda hehehe…
Saya sendiri kurang begitu pengalaman soal SQL Injection jadi gak bisa jelasin bagaimana caranya. Cuma yang bisa saya share disini adalah bagaimana cara menutup lubang keamanan itu. Mudah aja kok. Buka file top-excludepost.php lalu carilah kode ini:
$sql = $sql . " and p.ID IN ( SELECT tr.object_id FROM ".$wpdb->prefix."term_relationships AS tr INNER JOIN ".$wpdb->prefix."term_taxonomy AS tt ON tr.term_taxonomy_id = tt.term_taxonomy_id WHERE tt.taxonomy = 'category' AND tt.term_id=" . $_POST["cat"] . ")"; $cat_filter = $_POST["cat"];
Kemudian ganti dengan kode ini:
$sql = $sql . " and p.ID IN ( SELECT tr.object_id FROM ".$wpdb->prefix."term_relationships AS tr INNER JOIN ".$wpdb->prefix."term_taxonomy AS tt ON tr.term_taxonomy_id = tt.term_taxonomy_id WHERE tt.taxonomy = 'category' AND tt.term_id=" . html_entities($_POST["cat"]) . ")"; $cat_filter = html_entities($_POST["cat"]);
Oke, mudah-mudahan bisa membantu. Sebagai catatan, baru saja plugin itu di hapus dari database WordPress hehehe.. Tapi yang sudah kadung memakainya tentunya tidak bisa menunggu patch-nya rilis. Segera tutup ya
15 replies on “SQL Injection pada plugin Tweet Old Post”
Kalau memang ada celahnya, segera di hapus aja deh.. 😀
Kalau bisa ditutup ya nggak perlu toh 🙂
Cara nutup patchnya gmn tuh mas?
Anda baca judulnya doang ya? Hayo baca artikelnya sekarang!
Kalo semua koment di tutup kira-kira apa lebih aman dari sql injection ya..?? apa lewat search juga bisa
makasih infonya mas, sangat bermanfaat bagi pemula seperti saya
akcajqtopnfwe, [URL=http://www.columbiandoors.co.uk]debt consolidation[/URL] , tdxvcvf
zzcjpqw, [URL=http://www.cityfarmer.co.uk]wooden garden benches uk[/URL] , ucyuurg
rtjpvvm, [URL=http://www.atexledlighting.co.uk]E111 travel insurance[/URL] , reprzfk
1
ytmnuqx, [URL=http://www.columbiandoors.co.uk]debt consolidation loans[/URL] , imhendx
bprpobzieby, [URL=http://www.no-tomatoes.co.uk]consolidation debt[/URL] , fnqkvbjmtqf
inpvqkdabtuhm, [URL=http://www.cityfarmer.co.uk]garden benches[/URL] , cbqirqn
xzxbrng, [URL=http://www.atexledlighting.co.uk]e111 insurance[/URL] , uczmebmjwjznk
czxwcch, [URL=http://www.turbodemo.co.uk]outdoor sheds[/URL] , mqoewfr
tdliqvg, [URL=http://www.columbiandoors.co.uk]consolidation[/URL] , bugxcqedplb
rqjznpqhfba, [URL=http://www.no-tomatoes.co.uk]debt management companies[/URL] , zkixzmh
kckzlza, [URL=http://www.cityfarmer.co.uk]garden bench stone[/URL] , gpffrcpegqgej
lrrzbwl, [URL=http://www.atexledlighting.co.uk]E11[/URL] , ctnqwip
oocehwllppphk, [URL=http://www.turbodemo.co.uk]garden buildings online[/URL] , fihecwpgkwypm
bctlrmdthbekl, [URL=http://www.youlikey.co.uk]apply for free ehic card[/URL] , rjpjffi
zhmcmad, [URL=http://www.youlikey.co.uk]how do i get an e111 card[/URL] , gxrzxrgfhqtfl