一、 漏洞 CVE-2007-0107 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
## 漏洞概述 在WordPress 2.0.6之前,如果PHP启用了mbstring,系统会在转义SQL查询后解码备用字符集,这允许远程攻击者绕过SQL注入保护机制并执行任意SQL命令,通过使用多字节字符集(如UTF-7)进行攻击。 ## 影响版本 WordPress 版本低于 2.0.6 ## 漏洞细节 当PHP中启用了mbstring扩展时,WordPress在SQL查询转义处理后执行多字节字符集的解码。这使得攻击者能够利用多字节字符集(例如UTF-7)绕过SQL注入保护机制,并执行任意SQL命令。 ## 漏洞影响 远程攻击者可以绕过SQL注入防护机制,通过利用多字节字符集执行任意SQL命令,包括潜在的数据泄露、修改或删除数据等高风险操作。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
WordPress before 2.0.6, when mbstring is enabled for PHP, decodes alternate character sets after escaping the SQL query, which allows remote attackers to bypass SQL injection protection schemes and execute arbitrary SQL commands via multibyte charsets, as demonstrated using UTF-7.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress Charset Decoding SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
当PHP mbstring被激活时,WordPress 2.0.6之前版本会在溢出SQL查询后对预备的字符设置进行解码,这使得远程攻击者可以借助多比特的字符设置,比如使用UTF-7,来绕过SQL注入保护方案和执行任意的SQL指令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2007-0107 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2007-0107 的情报信息