漏洞标题
《Themify - WooCommerce产品筛选器 <= 1.4.9 - 通过条件参数进行未授权的SQL注入》
漏洞描述信息
WordPress的Themify-WooCommerce产品筛选插件在所有版本直至并包括1.4.9中,通过“conditions”参数存在基于时间的SQL注入漏洞,原因是用户提供的参数没有充分的转义,且现有的SQL查询没有充分的准备。这使得未授权攻击者能够将额外的SQL查询附加到现有的查询中,从而利用这些查询从数据库中提取敏感信息。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
漏洞标题
Themify - WooCommerce Product Filter <= 1.4.9 - Unauthenticated SQL Injection via conditions Parameter
漏洞描述信息
The Themify – WooCommerce Product Filter plugin for WordPress is vulnerable to time-based SQL Injection via the ‘conditions’ parameter in all versions up to, and including, 1.4.9 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
WordPress plugin Themify 安全漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin Themify 1.4.9 版本及之前版本存在安全漏洞,该漏洞源于通过 conditions 参数进行基于时间的 SQL 注入。
CVSS信息
N/A
漏洞类别
其他