1. 墨知首页
  2. 漏洞

WordPress插件 WP Sessions Time Monitoring Full Automatic<1.0.9 Sql注入漏洞 (CVE-2023-5203)

漏洞
漏洞类型 SQL注入 发现时间 2023-12-29 漏洞等级 高危
MPS编号 MPS-s92y-4j6l CVE编号 CVE-2023-5203 漏洞影响广度 极小
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
WP Sessions Time Monitoring Full Automatic 是 WordPress 中用于统计页面和用户活动时间的插件。
WP Sessions Time Monitoring Full Automatic 1.0.9之前版本在使用请求URL或查询参数之前未进行数据清洗,导致未经身份验证的攻击者可以利用SQL时间盲注(或在某些情况下使用报错/union联合注入)从数据库中提取敏感数据。
参考链接:https://www.oscs1024.com/hd/MPS-s92y-4j6l

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
WP Sessions Time Monitoring Full Automatic [1.0, 1.0.9) 替换组件 避免安装被投毒组件
参考链接:https://www.oscs1024.com/hd/MPS-s92y-4j6l

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-s92y-4j6l

https://nvd.nist.gov/vuln/detail/CVE-2023-5203

https://wpscan.com/vulnerability/7f4f505b-2667-4e0f-9841-9c1cd0831932

(0)
上一篇 2023年12月29日 上午10:00
下一篇 2023年12月30日 下午12:00

相关推荐

  • React/Next.js最新远程代码执行漏洞实际影响有限,仅影响近一年应用 漏洞

    React/Next.js最新远程代码执行漏洞实际影响有限,仅影响近一年应用

    漏洞描述 12月4日,React 与 Next.js 官方披露了两个与 React Server Components(RSC)相关的远程代码执行严重漏洞:CVE-2025-55182(React) 与 CVE-2025-66478(Next.js),其根因都是由于react-server-dom系列的三个实验性对Flight协议的反序列化实现不当,这些组件…

    2025年12月4日
    0
  • Elasticsearch simulate pipeline API 存在拒绝服务风险 (CVE-2023-46673) 漏洞

    Elasticsearch simulate pipeline API 存在拒绝服务风险 (CVE-2023-46673)

    漏洞类型 对异常条件的处理不恰当 发现时间 2023-11-22 漏洞等级 中危 MPS编号 MPS-gtbf-0qxw CVE编号 CVE-2023-46673 漏洞影响广度 广 漏洞危害 OSCS 描述 Elasticsearch 是开源的搜索引擎,simulate pipeline API 用于模拟指定的管道(pipeline)对提供的文档进行处理。在…

    2023年11月23日
    0
  • curl HSTS长文件名清除内容漏洞 (CVE-2023-46219) 漏洞

    curl HSTS长文件名清除内容漏洞 (CVE-2023-46219)

    漏洞类型 敏感信息泄露 发现时间 2023-12-06 漏洞等级 低危 MPS编号 MPS-b3tl-rgea CVE编号 CVE-2023-46219 漏洞影响广度 小 漏洞危害 OSCS 描述 curl 是用于在各种网络协议之间传输数据的命令行工具。 由于curl的Curl_fopen函数保存HSTS 数据的文件名后面添加了一个后缀,创建了一个临时文件,…

    2023年12月7日
    0

  • runc <1.2.0-rc.1 systemd属性注入漏洞 (CVE-2024-3154)

    漏洞类型 命令注入 发现时间 2024-04-27 漏洞等级 高危 MPS编号 MPS-617x-mejs CVE编号 CVE-2024-3154 漏洞影响广度 一般 漏洞危害 OSCS 描述 CRI-O 是一款开源的、用于Kubernetes系统的轻量级容器运行时环境,runc 是 CRI-O 中用于创建和运行容器的工具。 runc 受影响版本中由于未对 …

    漏洞 2024年4月28日
    0
  • NPM组件 alan-baileys 等窃取主机敏感信息 漏洞

    NPM组件 alan-baileys 等窃取主机敏感信息

    【高危】NPM组件 alan-baileys 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 alan-baileys 组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-wkyd-5v7r 处置建议 强烈建议修复 发现时间 2025-07-02 投毒仓库 npm 投毒类型 主机信息收集 利…

    2025年7月3日
    0