0x00 漏洞编号

• CVE-2023-5203

0x01 危险等级

• 高危
  

0x02 漏洞概述

WP Sessions Time Monitoring Full Automatic是一款WordPress插件，它能够准确测量每个页面和用户的所有活动时间，如工作时间、阅读时间、观看时间、特定用户的会话时间等。

0x03 漏洞详情

CVE-2023-5203

漏洞类型：SQL注入

影响：获取敏感信息

简述：WP Sessions Time Monitoring Full Automatic插件中存在SQL注入漏洞，由于其1.0.9版本之前在SQL查询中使用请求URL或查询参数之前未对其进行清理，未经身份验证的威胁者可通过SQL时间盲注从数据库中获取敏感信息。

0x04 影响版本

• WP Sessions Time Monitoring Full Automatic < 1.0.9

0x05 POC

https://wpscan.com/vulnerability/7f4f505b-2667-4e0f-9841-9c1cd0831932/

仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。

0x06 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://wordpress.org/plugins/activitytime/

原文始发于微信公众号（浅安安全）：漏洞预警 | WordPress插件会话时间监控SQL注入漏洞