Wow Viral Signups 2.1 WordPress Plugin SQL Injection 漏洞概述 Wow Viral Signups 2.1 WordPress 插件包含一个 SQL 注入漏洞,允许未授权的攻击者通过利用未转义的 'idsignup' POST 参数来提取数据库信息。攻击者可以向 admin-ajax.php 端点发送带有恶意 SQL 载荷的请求,以从数据库中读取任意数据。 影响范围 影响版本:Wow Viral Signups <= 2.1 修复方案 更新插件至最新版本,确保所有已知漏洞已被修复。 对输入数据进行严格的验证和转义,防止 SQL 注入攻击。 定期审查和更新插件,确保其安全性。 参考链接 ExploitDB-41921 Official Product Homepage Official Product Homepage Product Reference 其他信息 严重性:HIGH 日期:6/9/2026 CVE:CVE-2017-20245 CWE:CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') CVSS:8.8 CVSS V4 Vector:CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N 贡献者:TAD GROUP