时间:2024-05-02 | 来源: | 阅读:190
前言 开始CVE审计之旅 WP Statistics WordPress 插件13.2.9之前的版本不会转义参数,这可能允许经过身份验证的用户执行 SQL 注入攻击。默认情况下,具有管理选项功能 (admin+) 的用户可以使用受影响的功能,但是该插件有一个设置允许低权限用户也可以访问它,其实就是没
WordPress插件WP Statistics在13.2.9版本之前存在安全漏洞,未能转义参数,可能允许经过身份验证的用户进行SQL注入攻击。默认情况下,具有管理选项功能(admin+)的用户可以使用受影响的功能。然而,该插件有一个设置,允许低权限用户也可以访问它。实际上,该插件对管理员身份进行了处理,但只对nonce进行了处理。
以上是一个关于WP Statistics WordPress插件的漏洞分析。接下来,我们将介绍环境搭建、前置知识、攻击测试和漏洞分析的详细过程。
山东通 官网下载 2.7.92000 272.1 MB
下载
湘ICP备2022002427号-10 湘公网安备:43070202000427号
© 2013~2024 haote.com 好特网