【資安通報】Icegram Express <= 5.7.14

【資安通報】

風險等級(滿分為10分): 9.8(高)

受影響版本: <= 5.7.14

簡述:
該漏洞是透過「IG_ES_Subscribers_Query」類的「run」函數進行 SQL 注入，原因是對用戶提供的參數未進行足夠的轉義和現有 SQL 查詢的準備不足。這使得未經驗證的攻擊者可以將附加的 SQL 查詢添加到已有的查詢中，從而提取敏感訊息。

參考資料:

• https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/email-subscribers/icegram-express-email-subscribers-newsletters-and-marketing-automation-plugin-5714-unauthenticated-sql-injection
• https://www.wordfence.com/blog/2024/04/1250-bounty-awarded-for-unauthenticated-sql-injection-vulnerability-patched-in-email-subscribers-by-icegram-express-wordpress-plugin/

#大邵報資安

#WordPress