从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:Security & Malware scan by CleanTalk <= 2.145 - Authorization Bypass via Reverse DNS Spoofing to Unauthenticated SQL Injection 2. 漏洞类型:Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') 3. CVSS评分:7.5 (High) 4. 公开发布日期:2024年11月25日 5. 最后更新日期:2024年11月26日 6. 研究者:mikemyers 7. 漏洞描述:该漏洞允许未经授权的SQL注入,因为checkWithoutToken函数在所有版本(包括2.145)中存在授权绕过漏洞,以及输入未进行充分的清理和验证。这使得未经授权的攻击者可以向已存在的查询中添加额外的SQL查询,用于从数据库中提取敏感信息。 8. 参考链接:plugins.trac.wordpress.org 9. 修复建议:更新到2.145.1或更新的修补版本。 10. 受影响版本:<= 2.145 11. 已修复版本:2.145.1 12. 版权信息:该记录包含受版权保护的材料。 13. 许可信息: - Defiant Inc. 授予永久、全球、非独家、无需收费、不可撤销的版权许可,用于复制、准备衍生作品、公开展示、公开执行、分许可和分发此软件漏洞信息。 - MITRE Corporation 授予永久、全球、非独家、无需收费、不可撤销的版权许可,用于复制、准备衍生作品、公开展示、公开执行、分许可和分发Common Vulnerabilities and Exposures (CVE®)。 14. 联系方式:wfi-support@wordfence.com 15. 漏洞数据库:Wordfence Intelligence WordPress漏洞数据库是完全免费的,可以通过API访问和查询。