关键信息 漏洞概述 漏洞名称: NEX-Forms < 7.9.7 - Authenticated SQLi 描述: 插件在使用用户输入进行SQL语句时未正确进行清理和转义,导致SQL注入。默认情况下,任何能查看表单统计图表的人员均可执行此攻击,通常为管理员,但也可通过插件设置进行配置。 影响的插件 插件名称: nex-forms-express-wp-form-builder 修复版本: 7.9.7 分类 类型: SQLi OWASP Top 10: A1: Injection CWE: CWE-89 CVSS: 6.8 (Medium) 时间线 公开发布: 2022-08-01 添加日期: 2022-09-06 最后更新: 2022-09-06 参考链接 CVE: CVE-2022-3142 相关链接: - https://github.com/ehtec/nex-forms-exploit - https://medium.com/@elias.hohl/authenticated-sql-injection-vulnerability-in-nex-forms-wordpress-plugin-35b8558dd0f5 其他信息 发现者: Elias Hohl 提交者: Elias Hohl 提交者网站: https://ehtec.co 提交者Twitter: EliasHohl 验证: Yes WPVDB ID: 8acc0fc6-efe6-4662-b9ac-6342a7823328