WordPress插件 WP Sessions Time Monitoring Full Automatic<1.0.9 Sql注入漏洞 (CVE-2023-5203)

2023年12月29日下午2:00 • 漏洞

漏洞类型	SQL注入	发现时间	2023-12-29	漏洞等级	高危
MPS编号	MPS-s92y-4j6l	CVE编号	CVE-2023-5203	漏洞影响广度	极小

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

漏洞危害

OSCS 描述

WP Sessions Time Monitoring Full Automatic 是 WordPress 中用于统计页面和用户活动时间的插件。
WP Sessions Time Monitoring Full Automatic 1.0.9之前版本在使用请求URL或查询参数之前未进行数据清洗，导致未经身份验证的攻击者可以利用SQL时间盲注（或在某些情况下使用报错/union联合注入）从数据库中提取敏感数据。
参考链接：https://www.oscs1024.com/hd/MPS-s92y-4j6l

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
WP Sessions Time Monitoring Full Automatic [1.0, 1.0.9)	替换组件	避免安装被投毒组件
参考链接：https://www.oscs1024.com/hd/MPS-s92y-4j6l

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-s92y-4j6l

https://nvd.nist.gov/vuln/detail/CVE-2023-5203

https://wpscan.com/vulnerability/7f4f505b-2667-4e0f-9841-9c1cd0831932

CVE-2023-5203 漏洞

赞 (0)

mvel2 ParseTools.subCompileExpression方法存在拒绝服务风险 (CVE-2023-51079)

上一篇 2023年12月29日上午10:00

Apache DolphinScheduler<3.1.9 任意代码执行漏洞 (CVE-2023-49299)

下一篇 2023年12月30日下午12:00

漏洞

契约锁电子签章系统 pdfverifier 远程代码执行漏洞

【高危】契约锁电子签章系统 pdfverifier 远程代码执行漏洞漏洞描述契约锁是上海亘岩网络科技有限公司推出的一个电子签章及印章管控平台。受影响版本中，pdfverifier 接口在处理 OFD 文件（实质为 ZIP 压缩格式）时，未对压缩包内的文件名进行路径合法性校验。攻击者可构造包含 ../ 的恶意条目，在解压过程中将文件写入服务器任意路径，从而…

2025年7月13日
00
漏洞

Apache CXF Aegis DataBinding 存在SSRF漏洞 (CVE-2024-28752)

漏洞类型 SSRF 发现时间 2024-03-15 漏洞等级中危 MPS编号 MPS-lhqv-numb CVE编号 CVE-2024-28752 漏洞影响广度小漏洞危害 OSCS 描述 Apache CXF 是开源的Web服务框架，Aegis databinding 是将 XML/JSON 数据和对象进行转换的数据绑定功能。受影响版本中，由于 At…

2024年3月16日
00
漏洞

NPM组件 aiohappyeyeballs 等窃取主机敏感信息

【高危】NPM组件 aiohappyeyeballs 等窃取主机敏感信息漏洞描述当用户安装受影响版本的 aiohappyeyeballs 组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-yn10-lj8a 处置建议强烈建议修复发现时间 2025-08-03 投毒仓库 npm 投毒类型 …

2025年8月3日
00
漏洞

Atlassian Confluence 路径遍历漏洞 (CVE-2024-21677)

漏洞类型路径遍历发现时间 2024-03-20 漏洞等级高危 MPS编号 MPS-y5pm-1c07 CVE编号 CVE-2024-21677 漏洞影响广度广漏洞危害 OSCS 描述 Confluence 是由Atlassian公司开发的企业协作和文档管理工具。 Atlassian Confluence Data Center/Server 在6….

2024年3月25日
00
漏洞

NPM组件 querypilot 等窃取主机敏感信息

【高危】NPM组件 querypilot 等窃取主机敏感信息漏洞描述当用户安装受影响版本的 querypilot 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-2kgq-v17b 处置建议强烈建议修复发现时间 2025-07-05 投毒仓库 npm 投毒类型主机信息收集利…

2025年7月6日
00