返回列表

WordPress WooCommerce 插件SQL 注入漏洞（CVE-2022-0478）

CVE: CVE-2022-0478

CNVD: 暂无

CNNVD: 暂无

漏洞类型: SQL注入漏洞

漏洞等级: 高危

年份: 2022

POC_ID: 93

漏洞描述

WooCommerce 是世界上最受欢迎的开源电子商务解决方案,下载量超过500 万次。近日监测到 WordPress WooCommerce插件存在SQL注入漏洞,经过身份验证的攻击者可构造SQL语句进行获取数据库敏感信息。

FOFA 语句

系统自动生成（不一定准确）：body="/wap/first/zsff/iconfont/iconfont.css" || body="CRMEB"

影响范围

WordPress WooCommerce < 3.5.8

漏洞详情

关于该漏洞的详情分析见:https://castilho101.github.io/posts/cve-2022-0478-woocommerce-event-manager-plugin-sql-injection/ Payload: post_author_gutenberg=1,ID=1337/**/WHERE/**/ID=1/**/--

漏洞 POC

登录后可查看漏洞 POC。请先登录或注册。

修复建议

官方已发布修复版本 3.5.8 ,请尽快升级。

参考来源

https://wordpress.org/plugins/mage-eventpress/