WordPress是一个免费的开源内容管理系统,用PHP编写,并与MariaDB数据库配对,是世界上使用最多的开源 CMS 之一。在允许开发者自己构建插件和主题来管理网站时,WordPress的核心会提供插件/主题调用和使用WordPress函数的功能,如数据格式、查询数据库等许多选项在提供的众多WordPress ma类中,我们经常可以在提供查询DB的WP服务器类中发现SQL Injection错误:WP_Query。
WordPress 是基于 PHP 语言开发的博客平台,可以用于在支持 PHP 和 MySQL 数据库的服务器上架设网站,也可当做一个内容管理系统(CMS)。
2#影响版本
受影响的 WordPress 版本:
3.7.37<= WordPress <=5.8.2
3#漏洞危害
CVE-2022-21661:WordPress SQL注入漏洞
漏洞等级:高危
该漏洞是由于 WP_Query 类中存在特定缺陷,uninstall是使用在其中一个用于完全卸载WordPress的插件。File Upload是使用在其中的一个文件上传插件。攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行 SQL 注入攻击,最终造成服务器敏感性信息泄露等。
4#漏洞修复
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。
链接如下:
https://wordpress.org/download/
本博客所有文章如无特别注明均为原创。作者:渊龙Sec团队 ,复制或转载请以超链接形式注明转自 渊龙Sec安全团队博客 。
原文地址《WordPress SQL注入高危漏洞(CVE-2022-21661)》
原文地址《WordPress SQL注入高危漏洞(CVE-2022-21661)》
发表评论