漏洞标题
N/A
漏洞描述信息
WP ERP | 完整的人力资源解决方案,包括招聘和职位列表 | WordPress 的 WooCommerce CRM & Accounting 插件存在基于时间的SQL注入漏洞。所有版本,从1.12.9及以前版本,都受到用户提供的status和customer_id参数中不足转义以及现有SQL查询准备不足的影响。
这使得具有会计经理或管理员权限(及更高)的已验证攻击者能够将额外的SQL查询附加到现有的查询中,从而可以从数据库中提取敏感信息。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
漏洞标题
N/A
漏洞描述信息
The WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting plugin for WordPress is vulnerable to time-based SQL Injection via the erp/v1/accounting/v1/transactions/sales REST API endpoint in all versions up to, and including, 1.12.9 due to insufficient escaping on the user supplied status and customer_id parameters and lack of sufficient preparation on the existing SQL query. This makes it possible for authenticated attackers, with accounting manager or admin privileges and higher to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
WordPress Plugin WP ERP 安全漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress Plugin WP ERP 1.12.9 版本及之前版本存在安全漏洞,该漏洞源于对用户提供的状态和 customer_id 参数的转义不充分。
CVSS信息
N/A
漏洞类别
其他