漏洞总结 漏洞概述 在 WordPress 插件 Contact Form by SupySitic 的版本 1.3.76 中,文件 存在安全漏洞。 代码显示 (第137行) 和 (第160行及312行) 函数直接接收并传递用户输入的 参数,缺乏必要的输入验证(Sanitization)和过滤。这可能导致 SQL 注入 (SQL Injection) 或 跨站脚本攻击 (XSS),攻击者可通过构造恶意的 参数执行恶意代码或窃取数据库信息。 影响范围 受影响的插件版本为 1.3.76 及更早版本。 修复方案 开发者应在 和 函数的入口处,对 参数进行严格的数据清洗。 建议修复代码示例(在函数开头添加): 通过 或 确保输入参数为安全的整数或字符串,避免直接拼接进 SQL 查询或输出到页面。