您好!
永信至诚报送1个漏洞预警WordPress plugin WooCommerce Dropshipping SQL注入漏洞-CVE-2022-3481(CNNVD-202211-2184)。
1、产品描述
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
2、影响产品或组件及版本
WooCommerce Dropshipping < 4.4
3、受影响资产情况
根据资产测绘系统fofa发现,第一名美国,第二名德国,第三名荷兰。
4、危害等级
高危
5、技术细节表述
4.4之前的WooCommerce Dropshipping WordPress插件在通过未经过身份验证的用户可用的REST端点在SQL语句中使用参数之前,没有正确地过滤和转义参数,攻击者可以利用该漏洞执行任意 SQL 语句,如查询数据、下载数据、写入 webshell、执行系统命令以及绕过登录限制等, SQL 注入漏洞允许攻击者通过操纵用户输入来更改后端 SQL 语句。当 web 应用程序接受直接放入 SQL 语句的用户输入,并且没有正确过滤掉危险字符时,就会发生 SQL 注入。
6、修补措施
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本https://woocommerce.com/products/woocommerce-dropshipping/
7、漏洞来源
https://nvd.nist.gov/vuln/detail/CVE-2022-3481
评论