WordPress plugin LetsRecover SQL注入漏洞

漏洞描述

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin LetsRecover 1.1.0版本及之前版本存在SQL注入漏洞,该漏洞源于在SQL语句使用某些参数之前,未能正确地清理和转义这些参数,攻击者可利用该漏洞获取数据库敏感信息。

参考链接

https://cxsecurity.com/cveshow/CVE-2022-4356

漏洞解决方案

目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:

https://wpscan.com/vulnerability/27a8d7cb-e179-408e-af13-8722ab41947b

                           

推荐阅读

WordPress Transposh WordPress Translation SQL注入漏洞

漏洞描述 WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress Transposh WordPress Translation SQL注入漏洞,该漏洞源于当用户向HTTP GET参数提供输入时缺少对外…

WordPress Multisite Content Copier/Updater plugin跨站脚本漏洞

漏洞描述 WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress开源的一个应用插件。 WordPress Multisite Content Copier/Updater plugin 2.1.0之前版本存在跨站脚本漏洞,该漏洞源于插件未能在将wmcc_content_type、wmcc…

WordPress CorreosExpress plugin信息泄露漏洞

漏洞描述 WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress开源的一个应用插件。 WordPress CorreosExpress plugin 2.6.0及之前版本存在信息泄露漏洞,攻击者可利用该漏洞生成可公开访问的日志文件,其中包含敏感信息…