Categories
Keamanan

SQL Injection pada plugin Tweet Old Post

Sebuah lubang keamanan kembali ditemukan di dalam plugin Tweet Old Post versi 3.2.5 yang memungkinkan seseorang untuk melakukan SQL Injection dan tentu saja bisa mendapatkan data-data blog atau mengubah password admin blog anda hehehe…

Saya sendiri kurang begitu pengalaman soal SQL Injection jadi gak bisa jelasin bagaimana caranya. Cuma yang bisa saya share disini adalah bagaimana cara menutup lubang keamanan itu. Mudah aja kok. Buka file top-excludepost.php lalu carilah kode ini:

$sql = $sql . " and p.ID IN ( SELECT tr.object_id FROM ".$wpdb->prefix."term_relationships AS tr INNER JOIN ".$wpdb->prefix."term_taxonomy AS tt ON tr.term_taxonomy_id = tt.term_taxonomy_id WHERE tt.taxonomy = 'category' AND tt.term_id=" . $_POST["cat"] . ")";
$cat_filter = $_POST["cat"];

Kemudian ganti dengan kode ini:

$sql = $sql . " and p.ID IN ( SELECT tr.object_id FROM ".$wpdb->prefix."term_relationships AS tr INNER JOIN ".$wpdb->prefix."term_taxonomy AS tt ON tr.term_taxonomy_id = tt.term_taxonomy_id WHERE tt.taxonomy = 'category' AND tt.term_id=" . html_entities($_POST["cat"]) . ")";
$cat_filter = html_entities($_POST["cat"]);

Oke, mudah-mudahan bisa membantu. Sebagai catatan, baru saja plugin itu di hapus dari database WordPress hehehe.. Tapi yang sudah kadung memakainya tentunya tidak bisa menunggu patch-nya rilis. Segera tutup ya

By Lutvi

Bukan Ustadz, bukan Dai apalagi Kyai. Juga bukan guru. Hanya sekedar santri miskin ilmu yang coba mengamalkan 1 ayat warisan dari para ulama. Saat ini diamanahi menjadi admin web WordPress Indonesia

15 replies on “SQL Injection pada plugin Tweet Old Post”

zzcjpqw, [URL=http://www.cityfarmer.co.uk]wooden garden benches uk[/URL] , ucyuurg

rtjpvvm, [URL=http://www.atexledlighting.co.uk]E111 travel insurance[/URL] , reprzfk
1

inpvqkdabtuhm, [URL=http://www.cityfarmer.co.uk]garden benches[/URL] , cbqirqn

xzxbrng, [URL=http://www.atexledlighting.co.uk]e111 insurance[/URL] , uczmebmjwjznk
czxwcch, [URL=http://www.turbodemo.co.uk]outdoor sheds[/URL] , mqoewfr

tdliqvg, [URL=http://www.columbiandoors.co.uk]consolidation[/URL] , bugxcqedplb
rqjznpqhfba, [URL=http://www.no-tomatoes.co.uk]debt management companies[/URL] , zkixzmh

kckzlza, [URL=http://www.cityfarmer.co.uk]garden bench stone[/URL] , gpffrcpegqgej
lrrzbwl, [URL=http://www.atexledlighting.co.uk]E11[/URL] , ctnqwip
oocehwllppphk, [URL=http://www.turbodemo.co.uk]garden buildings online[/URL] , fihecwpgkwypm

Comments are closed.