漏洞总结 漏洞概述 该网页截图展示了 WordPress 插件 ManageWP Worker 的多个安全漏洞修复记录。主要涉及以下安全问题: 1. 跨站脚本攻击 (XSS):修复了存储型 XSS 漏洞(CVE-2026-3718)。 2. 路径遍历 (Path Traversal):修复了文件管理器下载功能中的路径遍历漏洞。 3. SQL 注入 (SQL Injection):修复了增量备份表检查功能中的 SQL 注入漏洞。 4. 敏感信息泄露:修复了品牌联系支持对话框中的敏感信息泄露问题。 影响范围 受影响软件:ManageWP Worker (WordPress 插件) 受影响版本:4.9.32 及更早版本(修复版本为 4.9.32) 影响组件: 文件管理器下载功能 ( ) 增量备份表检查功能 ( ) 品牌联系支持对话框 ( ) 修复方案 1. XSS 修复:在通信标头发送前增加了输入清理(Input Sanitization)。 2. 路径遍历修复:在文件管理器下载操作中增加了路径遍历攻击的防护。 3. SQL 注入修复:在增量备份表检查操作中增加了 SQL 注入漏洞的防护。 4. 信息泄露修复:在品牌联系支持对话框中增加了敏感信息的清理。 关键代码修复提取 1. 路径遍历修复 ( ) 修复了文件路径验证逻辑,防止攻击者通过构造恶意路径访问服务器上的任意文件。 2. SQL 注入修复 ( ) 修复了表名验证逻辑,防止通过构造恶意表名执行 SQL 注入。 3. 敏感信息泄露修复 ( ) 修复了品牌联系支持对话框中的敏感信息泄露问题。