CVE-2021-43408
CVE 描述:
最高版本 1.1.9 的“重复发布”WordPress 插件易受 SQL 注入攻击。当客户端提供的数据不安全地包含在 SQL 查询中时,就会出现 SQL 注入漏洞。通常可以利用 SQL 注入来读取、修改和删除 SQL 表数据。在许多情况下,还可以利用 SQL Server 的功能来执行系统命令和/或访问本地文件系统。任何已被授权使用 Duplicate Post 插件的经过身份验证的用户都可以利用此特定漏洞。默认情况下,这仅限于管理员,但是插件提供了允许访问编辑者、作者、贡献者和订阅者角色的选项。
漏洞利用数据库:
- 待提交
漏洞描述:
- 供应商主页:https ://wordpress.org/plugins/copy-delete-posts/
- 软件链接: https ://downloads.wordpress.org/plugin/copy-delete-posts.1.1.9.zip
- 版本:最高 1.1.9
- 在 Ubuntu 18.04 上测试
