【漏洞公告】WordPress全版本WPDBSQL注入漏洞

最新推荐文章于 2024-01-25 16:16:20 发布
最新推荐文章于 2024-01-25 16:16:20 发布
阅读量362 收藏
点赞数
文章标签: php python
原文链接:https://my.oschina.net/u/3715907/blog/1559816
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

2017年10月30日,WordPress官方发布4.8.3版本修复了一个重要的SQL注入漏洞,该漏洞由于WordPress中$wpdb编码不规范,导致可以接收和执行不安全的查询,导致潜在的SQL注入,存在高安全风险。 
具体详情如下:                                                                                                                                                漏洞编号:  
暂无 
漏洞名称:  
WordPress全版本WPDB SQL注入漏洞 
官方评级:  
高危 
漏洞描述:  
WordPress版本4.8.2及之前版本受到该漏洞的影响: $wpdb->prepare()可以接收和执行不安全的查询,导致潜在的SQL注入(SQLi)。 
WordPress核心并不容易直接受到这个漏洞的影响。 
漏洞利用条件和方式:  
通过PoC直接远程利用。 
PoC状态: 
未公开 
漏洞影响范围:  
WordPress <4.8.3版本 
漏洞检测:  
开发人员检查是否使用了受影响版本范围内的WordPress。 
漏洞修复建议(或缓解措施):  

  • WordPress官方已经发布最新版本,推荐升级官方最新版本WordPress 4.8.3 ,用户可以通过点击后台的仪表盘->更新。
  • 可以使用云盾WAF 进行入侵防御,防止发生安全事件。

 

原文连接:http://click.aliyun.com/m/34030/

转载于:https://my.oschina.net/u/3715907/blog/1559816

weixin_33728708
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WordPress Plugin HTML5 Video Player SQL注入漏洞(含批量验证poc)
weixin_43567873的博客
04-01 142
WordPress Plugin HTML5 Video Player SQL注入漏洞(含批量验证poc)
wordpress增加网站公告功能
09-29
对于个人站长们而言,和读者的交流是非常重要的。今天朋友让我帮忙做一个类似公告的小功能,现在将其制作过程发布出来,以供需要的朋友使用
wordpress漏洞_多个WordPress插件SQL注入漏洞分析
weixin_39702714的博客
12-12 632
背景SQL注入漏洞是用来构建SQL查询的用户输入未经适当处理导致的漏洞。比如:图1: 使用WordPress的SQL查询示例从上面的代码来看,其中存在SQL注入攻击漏洞,因为从$_GET中提取的$_id在传递给SQL查询时没有经过任何处理。在最新的WordPress版本中,默认会在$_POST/$_GET/$_REQUEST/$_COOKIE中加入了magic quotes。这可以帮助...
php wp foo,【翻译】WordPress WPDB SQL注入攻击(技术文档)
weixin_39714528的博客
03-12 134
WordPress 4.8.3中修复了一个重要的SQL注入漏洞漏洞是今年9月20日由Hacker-One报告的。本文主要讲了漏洞的技术细节和解决方法。升级到最新版本网站管理员应该升级WordPress到4.8.3版本并更新重写 $wpdb的所有插件,就可以预防此类问题。为客户机升级wp-db.php,可能需要修改一些防火墙规则,比如拦截 %s 和其他sprintf() 值。插件开发者应该?一般来...
http get url注入_WordPress插件Form Maker SQL注入漏洞分析
weixin_32247455的博客
02-02 234
最近WordPress的插件出现各种姿势漏洞(都是插件,不知何时能有核心漏洞出现),Easy WP SMTP、 Social Warfare、Form Maker等等,其中Form Maker1.13.3之前版本存在sql注入漏洞(CVE-2019-10866)。最近一直在看cms的漏洞代码,于是顺手在网上找了该插件的影响版本与修补后的版本进行了代码分析,并且在本地对该漏洞进行了分析复现...
八个有用的WordPress的SQL语句
殷高兴的专栏
03-20 499
在过去的十年中,MySQL已经成为广受欢迎的数据库,而WordPress博客使用的是MySQL数据库,虽然使用插件可以解决一些问题,但是实现某些特殊任务的时候,在phpMyAdmin中执行SQL语句是最简洁的方法,这里就总结八个有用的WordPress系统的SQL语句,用于解决一些实际碰到的问题。  1、创建备份数据库  备份数据库是首先要做的事情,只需要通过以下方法就可以简单备份数据库:
修复SQL注入漏洞 两种方法
cuanli7032的博客
03-16 2375
之前在网上找到一个在线的网站漏洞扫描工具,叫亿思平台,是一个免费的web安扫描平台。反正免费,就测试自己的一个网站,没想到还真扫描出SQL注入漏洞。但里面没有提供自动修复功能,需要自己动手来修复。经过反复查看论坛资料,还真让我...
CVE-2022-21661 WordPress 5.8.2 SQL注入批量脚本
苏落is菜鸡的博客
01-18 3553
CVE-2022-21661 WordPress 5.8.2 SQL注入批量脚本
漏洞分析 | Wordpress Fastest Cache插件SQL注入漏洞(CVE-2023-6063)
最新发布
WangsuSecurity的博客
01-25 925
WP Fastest Cache < 1.2.2版本存在SQL注入漏洞,可导致未经身份验证的攻击者读取站点数据库中的内容。
Wordpress漏洞
热门推荐
Grey的博客
07-19 2万+
爆路径方法: 1.http://www.chouwazi.com/wp-admin/includes/admin.php   2.http://www.chouwazi.com/wp-content/plugins/akismet/akismet.php   3.http://www.chouwazi.com/wp-content/plugins/akismet/hello.php   4...
WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661.pdf
09-27
这是最近爆出来的一个 wordpress 的 SQL 注入漏洞,实际上不是一个可以直接利用的洞,而是wordpress 的一个核心函数 WP_Query 的漏洞,这个函数常被插件使用,因此能造成的危害也挺大,前台后台都有可能
WordPress博客出现的绝对路径泄露漏洞修复方法
09-28
主要介绍了WordPress出现的绝对路径泄露漏洞修复方法,需要的朋友可以参考下
WordPress扫描程序:WordPress漏洞扫描程序
02-05
Wordpress Scanner能够发现Wordpress安装中的缺陷,并将提供有关该漏洞的所有信息。 Wordpress Scanner不是用于代码审核的工具,它对Wordpress支持的Web应用程序执行“黑匣子”扫描。 基本安检查将检查WordPress...
CVE-2022-20261 Wordpress的插件SQL注入漏洞分析及修补
鸣蜩十四的博客
03-11 7304
简介 wordpress是世界上使用最多的开源 CMS 之一。在允许开发者自己构建插件和主题来管理网站时,使用我们的许多便捷功能,wordpress的核心会提供插件/主题调用和使用wordpress函数的功能,如数据格式、查询数据库等许多选项在提供的众多类中,WP提供的查询DB的类中有SQL Injection错误:WP_Query。WP_Query 是 WordPress 提供的一个用于处理复杂 SQL 查询的类,在 WordPress 核心框架和插件中使用范围非常广泛,用户可以通过 WP_Query 类
最新2018年6月份Wordpress通杀版本漏洞 详情及利用方法
网站安全专家
06-30 1万+
2018年6月29日,wordpress爆出最新漏洞,该网站漏洞通杀所有wordpress版本,包括目前的wordpress 4.8.6 以及wordpress 4.9.6版本。可以删除网站上的任意文件,影响危害严重,甚至是致命的一个漏洞,如果被攻击者利用,后果将不堪设想。截止目前该漏洞还未有被修复,如果您在使用wordpress,请尽快将wp-includes文件夹下的post.php文件改名,...
WordPress插件SQL注入漏洞——漏洞复现
W小哥
11-25 7443
复现过程 环境地址:https://www.mozhe.cn/bug/detail/S0JTL0F4RE1sY2hGdHdwcUJ6aUFCQT09bW96aGUmozhe 访问目标网站 常规工具AWVS扫描是扫不出来漏洞的 第一步识别CMS vulnx -u http://219.153.49.228:47712/ --cms wpscan --url http://219.153.49.228:47712/ 给API的token才能将结果输出 ...
WordPress漏洞之————SQL注入漏洞与提权分析
Fly_鹏程万里
03-30 5909
威胁响应中心研究员对Wordpress核心功能SQL注入漏洞(编号为CVE-2015-5623和CVE-2015-2213)进行了详细的分析 0x00 漏洞概述 在twitter上看到Wordpress核心功能出现SQL注入漏洞,想学习下,就深入的跟了下代码,结果发现老外留了好大的一个坑。虽然确实存在注入问题,但是却没有像他blog中所说的那样可以通过订阅者这样的低权限来触发SQL注入漏洞...
wordpress plugin 代码注入漏洞
05-01
为避免wordpress插件代码注入漏洞,网站管理员应该及时更新wordpress版本和插件,避免使用来路不明的插件,关闭不必要的功能模块,对上传文件限制类型和大小等措施。同时,需要加强密码管理,禁止使用弱密码等不安...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值