WordPress plugin SQL注入漏洞

发布者:信网处发布时间:2021-05-22浏览次数:544

WordPress plugin SQL注入漏洞

WordPressWordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHPMySQL的服务器上架设个人博客网站。WordPress 插件是WordPress开源的一个应用插件。

一、漏洞分析

 公开日期:2021-05-22

 漏洞编号:CNVD-2021-36532/CVE-2021-24285

 危害等级:高危

 漏洞描述:Car Seller - Auto Classifieds Script WordPress plugin 2.1.0版本及之前版本存在SQL注入漏洞,身份验证和未经身份验证的用户order_id POST参数在SQL语句中使用它之前,导致SQL注入问题。目前没有详细漏洞细节提供。

二、漏洞影响产品

WordPress Car Seller - Auto Classifieds Script WordPress plugin <=2.1.0

三、漏洞处置建议

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://wpscan.com/vulnerability/f35d6ab7-dd52-48b3-a79c-3f89edf24162