0x01 阅读须知
本文提供的信息仅供网络安全人员用于发现或维护其负责的网站、服务器等,包括但不限于。本文禁止未经授权对计算机系统进行侵入性操作。用户应对因使用本文提供的信息而造成的任何直接或间接的后果和损失负责。本文提供的工具仅用于教育目的,不得用于任何其他目的。如有侵权,请联系我们删除。
0x02 产品概述
WordPress 的Quiz Maker 插件在6.5.8.3 及更早版本中存在基于时间的SQL 注入漏洞。该漏洞位于“ays_questions”参数中。用户指定的参数未正确转义,并且现有的SQL 查询准备不足,从而允许未经身份验证的攻击者将额外的SQL 查询附加到现有查询中,并从可能提取的数据库信息中提取敏感信息。
0x03 漏洞描述
SQL 注入广泛用于危害网站服务器并控制它。这是一个应用层安全漏洞。通常,如果程序存在设计缺陷,用户输入的数据将不会被过滤。因此,恶意用户可以创建在服务器上运行的SQL 语句,从而允许数据库中的数据被窃取、更改或删除。造成服务器入侵或其他危险。
福法
/wp-content/plugins/测验制作者/
0x04 POC利用(POC在内部星球,点击下方地址加入星球获取POC)
早加入早享受,即将涨价到149元!
以上关于#WordPress Quiz Maker Plugin SQL注入漏洞的相关内容摘自互联网,仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/92745.html
