WordPress Plugin HTML5 Video Player SQL注入漏洞(含批量验证poc)

已于 2024-04-01 13:31:01 修改
阅读量198 收藏
点赞数 5
分类专栏: 漏洞复现 文章标签: web安全
于 2024-04-01 13:30:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/137229591
版权
本文介绍了WordPress Plugin HTML5 Video Player存在的SQL注入漏洞,详细描述了漏洞成因,指出受影响的版本为2.5.25之前。攻击者能利用此漏洞获取数据库信息或写入恶意代码。文章提供了fofa查询条件、影响资产数量以及CVE编号,并给出修复建议:更新到最新版本。
摘要由CSDN通过智能技术生成

产品简介

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

漏洞描述

WordPress Plugin HTML5 Video Player 插件 get_view 函数中 id 参数存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

fofa及漏洞编号

“wordpress” && body=”html5-video-player”
影响资产数量:24,801
 

image.png


漏洞编号:CVE-2024-1061

影响版本

HTML5 Video Player < 2.5.25

了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
专栏目录
订阅专栏
WordPress Plugin HTML5 Video Player SQL注入漏洞复现(CVE-2024-1061)
0xSec
02-04 912
WordPress Plugin HTML5 Video Player 插件 get_view 函数中 id 参数存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
【复现】WordPress html5-video-player SQL 注入漏洞_39
fushuang333的博客
02-04 932
【复现】WordPress html5-video-player SQL 注入漏洞,​攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
WP Statistics SQL注入漏洞(CVE-2022-4230)
最新发布
zneVue
07-30 406
WP Statistics WordPress 插件13.2.9之前的版本不会转义参数,这可能允许经过身份验证的用户执行 SQL 注入攻击。默认情况下,具有管理选项功能 (admin+) 的用户可以使用受影响的功能,但是该插件有一个设置允许低权限用户也可以访问它。
漏洞分析 | Wordpress Fastest Cache插件SQL注入漏洞(CVE-2023-6063)
WangsuSecurity的博客
01-25 1169
WP Fastest Cache < 1.2.2版本存在SQL注入漏洞,可导致未经身份验证的攻击者读取站点数据库中的内容。
网络安全:SQL 注入漏洞
xv7676的博客
05-22 526
WordPress是一个用PHP编写的免费开源内容管理系统,由于clean_query函数的校验不当,导致了可能通过插件或主题以某种方式从而触发SQL注入的情况。这已经在WordPress5.8.3中进行了修复。影响版本可以追溯到3.7.37。
WordPress Plugin - WPdiscuz 7.0.4 任意文件上传漏洞poc,python脚本,复现所需软件安装
01-01
WordPress Plugin - WPdiscuz 7.0.4 任意文件上传漏洞poc,python脚本,复现所需软件安装包wordpress-5.4.1-zh_CN.tar.gz,phpStudy_64_v8.1.1.3.zip,phpStudy-1_v8.1.0.3.zip,wpdiscuz.7.0.4-1670423032410.zip
WordPress Automatic插件 SQL注入漏洞复现(CVE-2024-27956)
0xSec
05-01 1190
WordPress Automatic 插件3.92.1之前版本中存在SQL注入漏洞,该漏洞源于插件的用户身份验证机制,威胁者可以绕过该机制执行恶意SQL查询,将任意SQL代码注入网站的数据库并实现权限提升。成功利用该漏洞可能获得对网站的未授权访问、创建管理员帐户、上传恶意文件,并可能完全控制受影响的网站。
CVE-2022-20261 Wordpress的插件SQL注入漏洞分析及修补
鸣蜩十四的博客
03-11 7608
简介 wordpress是世界上使用最多的开源 CMS 之一。在允许开发者自己构建插件和主题来管理网站时,使用我们的许多便捷功能,wordpress的核心会提供插件/主题调用和使用wordpress函数的功能,如数据格式、查询数据库等许多选项在提供的众多类中,WP提供的查询DB的类中有SQL Injection错误:WP_Query。WP_Query 是 WordPress 提供的一个用于处理复杂 SQL 查询的类,在 WordPress 核心框架和插件中使用范围非常广泛,用户可以通过 WP_Query 类
网络安全:SQL 注入漏洞_cve-2021-1636
heike_Ch的博客
04-22 401
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
(CVE-2022-21661)WordPress SQL 注入漏洞分析和复现
weixin_50464560的博客
09-07 4977
转载https://www.freebuf.com/articles/web/321297.html。
WordPress Automatic SQL注入漏洞
weixin_43167326的博客
05-02 986
WordPress Plugin WP Automatic 存在SQL注入漏洞(CVE-2024-27956),该漏洞允许未经身份验证的远程攻击者执行任意SQL代码,获取数据库的敏感信息,或者对数据库进行增、删、改、查等危险操作。
漏洞复现】WordPress AutomaticPlugin SSRF漏洞
https://blog.echo234.cn/
04-02 427
WordPress AutomaticPlugin 其插件wp_automatic易受未经验证的任意文件下载和SSRF的攻击。位于downloader.php文件中,可能允许攻击者从网站下载任何文件。敏感数据,包括登录凭据和备份文件等。
实战演示黑客如何利用SQL注入漏洞攻破一个WordPress网站
你好,旧时光!
01-03 1878
实战演示黑客如何利用SQL注入漏洞攻破一个WordPress网站 发表在 技术技巧 | 4条评论 前几天微软skype的官方博客网站被黑客突破,虽然很快进行了修复,但从网友截屏的图片来看,应该一些抗议美国国安局监听行为和反对微软在软件里隐藏后门的黑客所为。微软skype的官方博客使用的是WordPress平台,Wordpress目前是世界上最流行的博客平台,市场占有率高达70%,这次
最新系统漏洞--WordPress wpDataTables SQL注入漏洞
weixin_48555088的博客
11-12 1351
最新系统漏洞2021年11月11日 受影响系统: WordPress wpDataTables < 3.4.2 描述: WordPressWordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。wpDataTables是使用在其中的一个图表管理插件。 WordPress wpDataTables–Tables&Table Charts premium plugin 3.4.2之前版本存在SQL注入漏洞。攻击者可利用该漏洞对endp
wordpress plugin 代码注入漏洞
05-01
wordpress plugin 代码注入漏洞是指恶意攻击者可以利用互联网中存在的溢出漏洞和路径遍历漏洞,向特定的wordpress插件中注入恶意代码,从而导致网站遭受攻击或者被黑客攻破。 一旦攻击者成功注入恶意代码,就可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值