【漏洞预警】WordPress plugin RRatingg SQL注入漏洞(CVE-2022-0657)

admin 2022年5月13日21:40:37安全漏洞评论16 views719字阅读2分23秒阅读模式

 01


漏洞描述




WordPress和WordPressplugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

5 星评级漏斗 WordPress 插件 | RRatingg 1.2.54 之前的 WordPress 插件在通过 rrtngg_delete_leads AJAX 操作在 SQL 语句中使用它们之前无法正确清理、验证和转义潜在客户 ID,该操作可供未经身份验证的用户使用,从而导致未经身份验证的 SQL 注入问题。尝试使用 sanitize_text_field() 对输入进行清理,但是此类函数并非旨在防止 SQL 注入。

 02

漏洞危害


WordPress plugin RRatingg 1.2.54之前存在SQL注入漏洞,该漏洞源于插件在通过 rrtngg_delete_leads AJAX 操作在 SQL 语句中使用它们之前无法正确清理、验证和转义潜在客户 ID,该操作可供未经身份验证的用户使用,从而导致未经身份验证的SQL注入问题。目前没有详细的漏洞细节提供。


 03

影响范围






WordPress RRatingg plugin <1.2.54

04

漏洞等级

   

高危

 06

修复方案


目前厂商已发布升级补丁以修复漏洞,补丁获取链接https://wpscan.com/vulnerability/e7fe8218-4ef5-4ef9-9850-8567c207e8e6





















END

长按识别二维码,了解更多


【漏洞预警】WordPress plugin RRatingg SQL注入漏洞(CVE-2022-0657)


原文始发于微信公众号(易东安全研究院):【漏洞预警】WordPress plugin RRatingg SQL注入漏洞(CVE-2022-0657)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月13日21:40:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞预警】WordPress plugin RRatingg SQL注入漏洞(CVE-2022-0657) http://cn-sec.com/archives/1006311.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: