一、 漏洞 CVE-2020-13640 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
gVectors wpDiscuz 插件 5.3.5 及更早版本存在 SQL 注入漏洞,远程攻击者可以通过 `wpdLoadMoreComments` 请求中的 `order` 参数执行任意 SQL 命令。

## 影响版本
- WordPress gVectors wpDiscuz 插件版本 5.3.5 及更早版本
- 7.x 版本不受影响

## 漏洞细节
攻击者可以通过 `wpdLoadMoreComments` 请求中的 `order` 参数注入恶意的 SQL 代码,并执行任意 SQL 命令。

## 影响
此漏洞允许远程攻击者执行任意 SQL 命令,可能导致数据库数据泄露或被篡改。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A SQL injection issue in the gVectors wpDiscuz plugin 5.3.5 and earlier for WordPress allows remote attackers to execute arbitrary SQL commands via the order parameter of a wpdLoadMoreComments request. (No 7.x versions are affected.)
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress gVectors wpDiscuz SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。gVectors wpDiscuz是使用在其中的一个具有实时讨论功能的响应式评论插件。 WordPress gVectors wpDiscuz 5.3.5及之前版本中存在SQL注入漏洞。远程攻击者可借助wpdLoadMoreComments请求的‘order’参数利用该漏洞执行任意SQL命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-13640 的公开POC
# POC 描述 源链接 神龙链接
1 CVE-2020-13640 - SQL injection in wpDiscuz WordPress plugin <= 5.3.5 https://github.com/asterite3/CVE-2020-13640 POC详情
2 A SQL injection issue in the gVectors wpDiscuz plugin 5.3.5 and earlier for WordPress allows remote attackers to execute arbitrary SQL commands via the order parameter of a wpdLoadMoreComments request. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2020/CVE-2020-13640.yaml POC详情
三、漏洞 CVE-2020-13640 的情报信息
四、漏洞 CVE-2020-13640 的评论

暂无评论

发表评论