WordPress Car Park Booking Plugin SQL Injection via space_id 漏洞概述 WordPress Car Park Booking Plugin 版本 13 October 17 存在一个基于时间的 SQL 注入漏洞,允许未经身份验证的攻击者通过注入 SQL 代码到 参数来操纵数据库查询。攻击者可以向预订页面端点发送 GET 请求,并使用带有 有效负载的恶意 值来提取敏感的数据库信息。 影响范围 Car Park Booking System <= 1.0 修复方案 升级到最新版本或应用官方提供的补丁。 对输入进行严格的验证和过滤,防止 SQL 注入攻击。 使用参数化查询或预编译语句来避免 SQL 注入。 参考链接 ExploitDB-43012 Official Product Homepage 其他信息 严重性: HIGH 日期: 6/9/2026 CVE: CVE-2017-20243 CWE: CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') CVSS: 8.8 CVSS V4 Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N Credit: 8bitsec