【漏洞预警】Wallet for WooCommerce SQL注入漏洞（CVE-2024-6353）

原创 聚焦网络安全情报 安全聚 2024-07-13 19:30

预警公告 高危

近日，安全聚实验室监测到 WordPress的插件中存在SQL注入漏洞 ，编号为：CVE-2024-6353，CVSS:8.8  具有订阅者级别及以上攻击者可以构造恶意请求，从而造成SQL注入，从而获取数据库中的敏感信息。

01

漏洞描述

WooCommerce 是一款功能强大的 WordPress 插件，为用户提供了搭建和管理在线商店的完整解决方案。通过易于安装和使用的界面，灵活的定制选项，以及丰富的产品和订单管理功能，WooCommerce 让用户可以轻松创建个性化的电子商务平台，同时支持多种支付方式，为用户提供便捷的购物体验。此漏洞源于未对用户提供的”search[value]”参数进行足够的转义处理，以及对现有SQL查询的准备不足。这使得具有订阅者级别及以上访问权限的认证攻击者能够在现有查询中注入额外的SQL查询，从而获取数据库中的敏感信息。

02

影响范围

Wallet for WooCommerce <= 1.5.4

03

安全措施

目前厂商已发布可更新版本，建议用户尽快更新至Wallet for WooCommerce的修复版本或更高的版本：Wallet for WooCommerce > 1.5.4下载链接：https://wordpress.org/plugins/woo-wallet/#developers

04

参考链接

1.https://wordpress.org/plugins/woo-wallet/#developers2.https://plugins.trac.wordpress.org/browser/woo-wallet/trunk/includes/class-woo-wallet-ajax.php#L393

05

技术支持

长按识别二维码，关注“安全聚”公众号，联系我们的团队技术支持。