漏洞信息
# Youzify < 1.2.0 - 未认证的SQL注入漏洞
## 漏洞概述
Youzify WordPress插件在1.2.0之前的版本中,未对一个参数进行清理和转义,便在SQL语句中使用该参数,导致未授权SQL注入漏洞。
## 影响版本
Youzify WordPress插件版本1.2.0之前的所有版本。
## 漏洞细节
插件在处理通过AJAX操作传递的参数时,未对其进行清理和转义,直接用于SQL语句中。此AJAX操作对未认证用户开放。
## 影响
未授权的攻击者可以利用此漏洞执行SQL注入攻击,可能导致敏感信息泄露、数据修改或删除等严重后果。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Youzify < 1.2.0 - Unauthenticated SQLi
漏洞描述信息
The Youzify WordPress plugin before 1.2.0 does not sanitise and escape a parameter before using it in a SQL statement via an AJAX action available to unauthenticated users, leading to an unauthenticated SQL injection
CVSS信息
N/A
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
漏洞标题
WordPress plugin Youzify SQL注入漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin Youzify 1.2.0 之前版本存在SQL注入漏洞,该漏洞源于在通过未经身份验证的用户可用的 AJAX 操作在 SQL 语句中使用参数之前,不会对其进行清理和转义,从而导致未经身份验证的 SQL 注入。
CVSS信息
N/A
漏洞类别
SQL注入