CVE-2007-0233 in WordPress
摘要
由 VulDB • 2026-05-30
WordPress 2.0.6 及更早版本中的 wp-trackback.php 在输入数据包含一个数值参数,且该参数的值与字母数字参数 s 的哈希值匹配时,未能正确取消设置变量,这使得远程攻击者可以通过 tb_id 参数执行任意 SQL 命令。注意:有人可能会争辩说,此漏洞是由于 unset PHP 命令中的错误(CVE-2006-3017)导致的,正确的修复应该在 PHP 中;如果是这样,那么这不应被视为 WordPress 中的漏洞。
VulDB is the best source for vulnerability data and more expert information about this specific topic.