漏洞关键信息总结 1. 漏洞概述 漏洞名称: Attendance Manager <= 0.6.2 - Authenticated (Subscriber+) SQL Injection via 'attmgr_off' Parameter CVSS评分: 5.4 详细描述: WordPress插件 Attendance Manager 在 0.6.2 及以下版本中存在SQL注入漏洞。该漏洞源于对用户提供的 'attmgr_off' 参数缺乏足够的转义处理,且现有的SQL查询缺乏充分的准备。这使得拥有订阅者(Subscriber)或更高权限的认证攻击者能够将SQL命令注入到现有的SQL查询中。 2. 影响范围 受影响软件: Attendance Manager (WordPress Plugin) 受影响版本: <= 0.6.2 3. 修复方案 补丁状态: 目前无已知补丁 (No known patch available)。 建议措施: 请深入审查漏洞详情,并根据组织的风险承受能力采取缓解措施。最稳妥的做法可能是卸载受影响的软件并寻找替代品。 4. 近期发现的其他相关漏洞 CVE-2025-39515: Attendance Manager <= 0.6.2 - Authenticated (Contributor+) Stored Cross-Site Scripting (CVSS: 8.4) CVE-2019-5971: Attendance Manager <= 0.5.6 - Cross-site Request Forgery (CVSS: 8.8) CVE-2019-5970: Attendance Manager <= 0.5.6 - Stored Cross-Site Scripting (CVSS: 6.1)