01
漏洞描述
WordPress 是世界上使用最广泛的博客系统之一,是一款开源的PHP软件。WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统(CMS)来使用。WordPress 功能强大,插件众多,易于扩充功能。安装使用都非常方便。
WordPress是一款个人博客系统,并逐步演化成一款内容管理系统软件,它是使用PHP语言和MySQL数据库开发的,用户可以在支持 PHP 和 MySQL数据库的服务器上使用自己的博客。
02
漏洞危害
WordPress插件Donations插件SQL注入漏洞,该漏洞源于无法正确清理和转义nd_donations_id参数,将其插入SQL语句中,通过nd_donations_single_cause_form_validate_fields_php_function AJAX操作执行,攻击者可利用漏洞导致SQL注入。
03
影响范围
WordPress Donations 1.8
04
漏洞等级
高危
05
修复方案
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://wpscan.com/vulnerability/b81e824c-d2b1-4381-abee-18c42bb5c2f5
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】WordPress插件Donations SQL注入漏洞(CVE-2022-0782)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论