【安全圈】WordPress插件多个SQL注入漏洞

关键词

漏洞

0x00 漏洞概述

2023年1月12日，Tenable Research的研究人员公开披露了多个WordPress 插件中的SQL注入漏洞，成功利用这些漏洞可以修改或删除网站数据、注入恶意脚本或获得对网站的完全访问权限。

0x01 漏洞详情

WordPress插件Paid Memberships Pro是一个会员和订阅管理工具，被超过100,000个网站使用；WordPress 插件Easy Digital Downloads 是一种用于销售数字文件的电子商务解决方案，拥有超过 50,000 个活动安装；Survey Marker是一个被 3,000 个网站用于调查和市场研究的 WordPress 插件。

本次披露的3个SQL注入漏洞详情如下，目前这些漏洞的PoC/EXP已公开：