【資安通報】

風險等級(滿分為10分): 8.8(高)

受影響版本: <= 6.8.6

簡述:
漏洞存在於 gamipress_earnings shortcode 的「achievement_types」屬性中,原因是對使用者提供的參數未經適當跳脫處理,且現有的 SQL 查詢缺乏足夠準備。
這使得具有投稿者及以上權限的經過驗證攻擊者,可以在現有查詢中附加額外的 SQL 查詢,用於從資料庫中提取敏感資訊。

參考資料:
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/gamipress/gamipress-the-1-gamification-plugin-to-reward-points-achievements-badges-ranks-in-wordpress-686-authenticated-contributor-sql-injection-via-shortcode

#大邵報資安

#WordPress

Similar Posts

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *