漏洞标题
N/A
漏洞描述信息
WordPress上的wp\_ anything\_slider插件在包括9.1版本在内的所有版本中都可以通过插件的短代码进行SQL注入攻击。由于对用户输入参数的不够 escaping 和 不够预处理,该插件的现有SQL查询没有足够的准备,因此授权的 authenticated attackers 能够将其添加到已经存在的SQL查询中,以便从数据库中提取敏感信息。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
漏洞标题
N/A
漏洞描述信息
The Wp anything slider plugin for WordPress is vulnerable to SQL Injection via the plugin's shortcode in versions up to, and including, 9.1 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. This makes it possible for authenticated attackers with subscriber-level and above permissions to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
WordPress Plugin Wp anything slider 安全漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress Plugin Wp anything slider 9.1 版本及之前版本存在安全漏洞,该漏洞源于对用户提供的参数转义不充分以及对现有SQL 查询缺乏充分的准备,很容易通过插件的短代码受到 SQL 注入攻击。
CVSS信息
N/A
漏洞类别
其他