漏洞概述 该漏洞涉及 插件的多个文件,主要问题在于 SQL 注入漏洞。具体来说, 和 函数在处理用户输入时未进行适当的转义,导致攻击者可以通过构造恶意输入来执行任意 SQL 查询。 影响范围 受影响文件: - - - - - - - 受影响版本: - 插件版本 4.5.6 及之前版本。 修复方案 1. 更新插件: - 建议用户立即将 插件更新到最新版本,以修复已知的 SQL 注入漏洞。 2. 代码修复: - 在 和 函数中,对用户输入进行适当的转义处理,防止 SQL 注入。 - 使用 WordPress 提供的安全函数(如 )来构建 SQL 查询。 POC 代码 以下是 和 函数中的相关代码片段,展示了漏洞的具体位置: 总结 该漏洞允许攻击者通过构造恶意输入来执行任意 SQL 查询,可能导致数据泄露或篡改。建议用户尽快更新插件并检查相关代码,确保用户输入得到正确处理。