您好！

永信至诚报送1个漏洞预警WordPress plugin WooCommerce Dropshipping SQL注入漏洞-CVE-2022-3481（CNNVD-202211-2184）。

1、产品描述

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

2、影响产品或组件及版本

WooCommerce Dropshipping < 4.4

3、受影响资产情况

根据资产测绘系统fofa发现，第一名美国，第二名德国，第三名荷兰。

4、危害等级

高危

5、技术细节表述

4.4之前的WooCommerce Dropshipping WordPress插件在通过未经过身份验证的用户可用的REST端点在SQL语句中使用参数之前，没有正确地过滤和转义参数，攻击者可以利用该漏洞执行任意 SQL 语句，如查询数据、下载数据、写入 webshell、执行系统命令以及绕过登录限制等, SQL 注入漏洞允许攻击者通过操纵用户输入来更改后端 SQL 语句。当 web 应用程序接受直接放入 SQL 语句的用户输入，并且没有正确过滤掉危险字符时，就会发生 SQL 注入。

6、修补措施

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本https://woocommerce.com/products/woocommerce-dropshipping/

7、漏洞来源

https://nvd.nist.gov/vuln/detail/CVE-2022-3481