中国·开yun体育(官方)入口-APP下载安装·Maigoo百科

关于WordPress Plugin NotificationX SQL注入漏洞(CVE-2024-1698)的安全告知

时间:2024-03-21 17:46:50来源:信息安全部作者:开yun体育官网入口

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。 

漏洞详情
WordPress Plugin NotificationX是一个应用插件,其2.8.2及之前的版本存在一个SQL注入漏洞(CVE-2024-1698)。该漏洞的原因是插件中对参数的转义不够完善,并且对现有的SQL查询缺乏有效的过滤。攻击者可以利用"type"参数进行SQL注入攻击,未经身份验证的攻击者可以在现有查询语句中追加其他的SQL查询。

影响范围
NotificationX <= 2.8.2

漏洞复现
image006.png

修复建议
厂商已发布漏洞修复版本,请根据厂商修复建议进行修复

产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。

参考链接
https://plugins.trac.wordpress.org/changeset/3040809/notificationx/trunk/includes/Core/Rest/Analytics.php
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/notificationx/notificationx-best-fomo-social-proof-woocommerce-sales-popup-notification-bar-plugin-with-elementor-282-unauthenticated-sql-injection

XML 地图