WordPress ELEX WooCommerce插件SQL注入漏洞(CVE-2025-XXXX)

## 漏洞关键信息总结 ### 漏洞概述 | 项目 | 内容 | |:---|:---| | **漏洞名称** | WordPress ELEX WooCommerce Advanced Bulk Edit Products, Prices & Attributes Plugin SQL 注入漏洞 | | **CVE编号** | CVE-2025-XXXX（页面未显示完整CVE号） | | **严重程度** | 高危（High priority） | | **CVSS评分** | 9.8 / 10 | | **漏洞类型** | SQL 注入（SQL Injection） | | **风险描述** | 攻击者可直接与数据库交互，包括但不限于窃取信息 | --- ### 影响范围 | 项目 | 内容 | |:---|:---| | **受影响软件** | ELEX WooCommerce Advanced Bulk Edit Products, Prices & Attributes | | **软件类型** | WordPress 插件 | | **漏洞版本** | <= 1.4.9 | | **安全版本** | 1.5.0 或更高版本 | | **披露日期** | 2025年3月30日 | | **报告者** | Martino Spagnuolo (@3v3r1) | --- ### 修复方案 #### 方案一：自动缓解（推荐） - Patchstack 已发布缓解规则，可在更新前阻止攻击 - 使用 Patchstack 服务自动缓解漏洞并保持网站安全 #### 方案二：手动更新 - **立即更新至版本 1.5.0 或更高版本** - Patchstack 用户可为易受攻击的插件单独开启自动更新 --- ### POC代码/利用代码 **页面中未包含具体的POC代码或利用代码。**

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

WordPress ELEX WooCommerce插件SQL注入漏洞(CVE-2025-XXXX)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！