使用 WordPress 用户登录(WP 作为 SAML IDP)<= 1.15.6 - 经过身份验证(管理员+)SQL 注入(CVE-2024-9887)
CVE编号
CVE-2024-9887
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-16
漏洞描述
WordPress中的“使用WordPress用户登录(WP作为SAML IDP)”插件存在基于时间的SQL注入漏洞,该漏洞存在于所有版本,包括最高版本1.15.6在内。这是由于对用户提供的参数逃逸不足以及对现有SQL查询的预备不足导致的。这使得拥有管理员级别访问权限的认证攻击者能够在已有的查询中附加额外的SQL查询,从而提取数据库中的敏感信息。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论