支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-12984 基础信息
漏洞信息
                                        # Advanced Ads <=2.0.15 管理员SQL注入漏洞

## 概述
Advanced Ads – Ad Manager & AdSense 插件存在SQL注入漏洞,影响版本至2.0.15(含)。

## 影响版本
所有版本 <= 2.0.15

## 细节
漏洞存在于对 `'order'` 参数的处理中,由于未对用户输入进行充分转义,且SQL查询缺乏足够的预处理机制,导致可被利用。

## 影响
经过身份验证的管理员及以上权限的攻击者可利用该漏洞,通过拼接SQL语句,从数据库中提取敏感信息。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Advanced Ads – Ad Manager & AdSense <= 2.0.15 - Authenticated (Admin+) SQL Injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Advanced Ads – Ad Manager & AdSense plugin for WordPress is vulnerable to SQL Injection via the 'order' parameter in all versions up to, and including, 2.0.15 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. This makes it possible for authenticated attackers, with Administrator-level access and above, to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-12984 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-12984 的情报信息

  • 标题: Changeset 3429511 for advanced-ads – WordPress Plugin Repository -- 🔗来源链接

    标签:

    Changeset 3429511 for advanced-ads – WordPress Plugin Repository

  • 标题: Advanced Ads – Ad Manager & AdSense <= 2.0.15 - Authenticated (Admin+) SQL Injection -- 🔗来源链接

    标签:

    神龙速读:
                                            ### 关键漏洞信息

#### 描述
- **漏洞类型**: SQL Injection
- **插件**: Advanced Ads – Ad Manager & AdSense
- **受影响版本**: <= 2.0.15
- **修复版本**: 2.0.16
- **CVE编号**: CVE-2025-12984
- **CVSS评分**: 4.9 (Medium)
- **公开披露日期**: 2026年1月16日
- **最后更新日期**: 2026年1月17日
- **研究员**: Supakiad S. (m3ez) - E-CQURITY (Thailand)

#### 修复建议
- **已修复**: Yes
- **修复措施**: 更新到2.0.16或更高版本的修补版本

#### 补充信息
- Wordfence Intelligence提供免费的API访问,用于访问WordPress漏洞数据库,并提供实时漏洞通知。
- 联系支持邮箱: wfi-support@wordfence.com
    Advanced Ads – Ad Manager & AdSense <= 2.0.15 - Authenticated (Admin+) SQL Injection
  • https://plugins.trac.wordpress.org/browser/advanced-ads/tags/2.0.13/includes/admin/class-placement-list-table.php#L254
  • https://nvd.nist.gov/vuln/detail/CVE-2025-12984
四、漏洞 CVE-2025-12984 的评论

暂无评论

发表评论