从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:Photos, Files, YouTube, Twitter, Instagram, TikTok, Ecommerce Contest Gallery - Upload, Vote, Sell via PayPal, Social Share Buttons <= 24.0.3 - Unauthenticated SQL Injection 2. 漏洞类型:Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') 3. CVSS评分:9.8 (Critical) 4. 公开发布日期:2024年11月4日 5. 更新日期:2024年11月5日 6. 研究者:shaman0x01 - Shaman Red Team 7. 受影响版本:<= 24.0.3 8. 修复版本:24.0.4 9. 漏洞描述:该插件在所有版本中(包括24.0.3)都存在未授权SQL注入漏洞,因为$collectedIds参数在用户提供的参数中没有足够的转义,并且在现有SQL查询中缺乏足够的准备。这使得未经授权的攻击者可以向现有的查询中添加额外的SQL查询,从而从数据库中提取敏感信息。 10. 参考链接:plugins.trac.wordpress.org 11. 修复建议:更新到版本24.0.4或更高版本的已修复版本。 12. 漏洞数据库:Wordfence Intelligence Vulnerability Database 13. API:Wordfence Intelligence Vulnerability Database API是免费的,可以查询和利用,既可用于个人,也可用于商业用途,包含与用户界面相同的漏洞数据。 14. 文档:有关如何通过API查询漏洞数据的文档。 15. 通知:Wordfence提供免费的个人和商业API访问,以及免费的Webhook集成,以确保您的WordPress网站始终处于最新漏洞的最前沿。