WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
一、漏洞分析
公开日期:2022-05-13
漏洞编号:CNVD-2022-36989/CVE-2022-0657
危害等级:高危
漏洞描述:WordPress plugin RRatingg 1.2.54之前存在SQL注入漏洞,该漏洞源于插件在通过rrtngg_delete_leads AJAX 操作在SQL 语句中使用它们之前无法正确清理、验证和转义潜在客户ID,该操作可供未经身份验证的用户使用,从而导致未经身份验证的SQL注入问题。 目前没有详细的漏洞细节提供。
二、漏洞影响产品
WordPress RRatingg plugin <1.2.54
三、漏洞处置建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://wpscan.com/vulnerability/e7fe8218-4ef5-4ef9-9850-8567c207e8e6
