0x00 漏洞编号

• CVE-2024-1981

0x01 危险等级

• 高危

0x02 漏洞概述

WPvivid Backup and Migration插件是一款用于高级计划备份、恢复和迁移的一体化Wordpress插件，该插件的活跃安装量已超过400000次。

0x03 漏洞详情

CVE-2024-1981

漏洞类型：SQL注入

影响：获取敏感信息

简述：WPvivid Backup and Migration插件0.9.68版本中，由于对用户提供的参数转义不充分且现有SQL查询准备不足，可能导致通过table_prefix参数受到SQL注入攻击，未经身份验证的威胁者可在已有的查询中附加额外的SQL查询，从数据库中获取敏感信息。

0x04 影响版本

• WPvivid Backup and Migration <= 0.9.68

0x05 POC

https://research.hisolutions.com/2024/01/multiple-vulnerabilities-in-wordpress-plugin-wpvivid-backup-and-migration/

仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。

0x06 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://wordpress.org/plugins/wpvivid-backuprestore/

原文始发于微信公众号（浅安安全）：漏洞预警 | WordPress WPvivid Backup and Migration插件SQL注入漏洞