漏洞类型	SQL注入	发现时间	2023-12-29	漏洞等级	高危
MPS编号	MPS-s92y-4j6l	CVE编号	CVE-2023-5203	漏洞影响广度	极小

目录隐藏

2.1 OSCS 平台影响范围和处置方案

3 排查方式

漏洞危害

OSCS 描述

WP Sessions Time Monitoring Full Automatic 是 WordPress 中用于统计页面和用户活动时间的插件。
WP Sessions Time Monitoring Full Automatic 1.0.9之前版本在使用请求URL或查询参数之前未进行数据清洗，导致未经身份验证的攻击者可以利用SQL时间盲注（或在某些情况下使用报错/union联合注入）从数据库中提取敏感数据。
参考链接：https://www.oscs1024.com/hd/MPS-s92y-4j6l

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
WP Sessions Time Monitoring Full Automatic [1.0, 1.0.9)	替换组件	避免安装被投毒组件
参考链接：https://www.oscs1024.com/hd/MPS-s92y-4j6l

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-s92y-4j6l

https://nvd.nist.gov/vuln/detail/CVE-2023-5203

https://wpscan.com/vulnerability/7f4f505b-2667-4e0f-9841-9c1cd0831932

WordPress插件 WP Sessions Time Monitoring Full Automatic<1.0.9 Sql注入漏洞 (CVE-2023-5203)

漏洞危害

影响范围及处置方案

OSCS 平台影响范围和处置方案

排查方式

相关推荐

Torchserve 存在Zip Slip漏洞 (CVE-2023-48299)

RocketMQ NameServer存在远程代码执行漏洞 （CVE-2023-37582）[有POC]

NPM组件 @angular_devkit/architect 等窃取主机敏感信息

Apache James Server JMX端点暴露 反序列化漏洞 (CVE-2023-51518)

MarkText<=0.17.1 存在DOM型XSS漏洞 (CVE-2023-2318) [有POC]

RocketMQ NameServer存在远程代码执行漏洞（CVE-2023-37582）[有POC]

Apache James Server JMX端点暴露反序列化漏洞 (CVE-2023-51518)