当前位置: 首页 > article >正文

WordPress Icegram Express插件Sql注入漏洞复现(CVE-2024-2876)(附脚本)

免责申明:

本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我们联系,我们将尽快处理并删除相关内容。

0x01 产品描述:

        Icegram Express 是一款专为 WordPress 设计的轻量级电子邮件订阅和营销插件,帮助网站管理员轻松收集订阅者并发送电子邮件通讯。它支持多种表单样式、弹出窗口和浮动条,能够有效提升用户参与度和转化率。此外,Icegram Express 还提供自动化邮件发送、列表管理等功能,并与主流电子邮件服务无缝集成,是提升网站营销效果的有力工具。
0x02 漏洞描述:

        Icegram Express插件中通过'IG_ES_Subscribers_Query'类的'run'函数,由于对用户提供的参数逃逸不足以及对现有SQL查询准备不足。这使得未授权的攻击者可以将额外的SQL查询追加到已存


http://www.kler.cn/a/524272.html

相关文章:

  • 《深度剖析Q-learning中的Q值:解锁智能决策的密码》
  • 大一计算机的自学总结:异或运算
  • Spring MVC 综合案例
  • matlab提取滚动轴承故障特征
  • 如何解决跨浏览器兼容性问题
  • 相互作用感知的蛋白-小分子对接模型 - Interformer 评测
  • Java 大视界 -- Java 大数据在自动驾驶中的数据处理与决策支持(68)
  • 安卓逆向之脱壳-认识一下动态加载 双亲委派(一)
  • 设计模式的艺术-观察者模式
  • (done) ABI 相关知识补充:内核线程切换、用户线程切换、用户内核切换需要保存哪些寄存器?
  • MATLAB中extractAfter函数用法
  • Git进阶之旅:Git 命令
  • Django ORM解决Oracle表多主键的问题
  • 全程Kali linux---CTFshow misc入门(1-12)
  • CMake常用命令指南(CMakeList.txt)
  • Vue 3 30天精进之旅:Day 07 - Vue Router
  • 【Python百日进阶-Web开发-FastAPI】Day812 - FastAPI Cookie 参数、Header 参数
  • 运用python爬虫爬取汽车网站图片并下载,几个汽车网站的示例参考
  • 一个python项目中的文件和目录的作用是什么?scripts,venv,predict的具体含义
  • GO 高级特性篇
  • 常见端口的攻击思路
  • 爱书爱考平台说明
  • C#操作GIF图片(上)
  • python+playwright自动化测试(八):iframe切换、多窗口切换
  • Go Fx 框架使用指南:深入理解 Provide 和 Invoke 的区别
  • 单片机基础模块学习——AT24C02芯片