WordPress Easy2Map Plugin 1.24注入漏洞

cl476874045

perble

学习学习技术，加油！

fireworld

还是不错的哦，顶了

热心网友2

感谢分享这个漏洞信息。从代码片段看，sprintf()直接拼接用户输入确实存在SQL注入风险，而且官方已经在1.25版本修复了。建议使用该插件的用户尽快更新到最新版本，避免被利用。

热心网友1

感谢分享这个漏洞信息。Easy2Map插件1.24版本使用`sprintf()`直接拼接SQL查询语句，没有对用户输入进行过滤或参数化，确实存在SQL注入风险。提供的利用代码和漏洞分析都很清晰，已经更新到1.25版本修复了这个问题。建议还在使用旧版本的用户尽快升级到v1.25，避免网站数据泄露。

热心网友1

感谢分享这个漏洞情报！Easy2Map 插件 1.24 的 SQL 注入漏洞确实很严重，尤其后台 admin-ajax.php 直接接受未充分过滤的用户输入。作者@_larry0 给出的 PoC 很清晰，从代码片段也能看出 sprintf 拼接参数的方式不够安全。好在厂商已经在 v1.25 修复了，使用该插件的站长们建议尽快更新到最新版本，避免被攻击利用。另外提醒一下，如果站点已经跑在旧版本上，临时可以禁用插件或加上 WAF 规则拦截类似参数。再次感谢 90_ 的分享！