WordPress Yawave插件 SQL注入漏洞(CVE-2025-1648)
免责申明:
本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我们联系,我们将尽快处理并删除相关内容。
0x01 产品描述:
Yawave 是一个专为 WordPress 设计的社交媒体聚合插件,允许用户将各种社交媒体平台的内容(如 Instagram、Twitter、Facebook 等)无缝集成到他们的 WordPress 网站中。通过 Yawave,用户可以轻松展示社交媒体的动态、帖子、评论等,增强网站的互动性和内容多样性。该插件支持自定义显示样式、自动更新和内容过滤,帮助网站管理员更好地管理和展示社交媒体内容,提升用户参与度和网站吸引力。
0x02 漏洞描述:
由于 WordPress的 Yawave 插件对用户提供的参数的转义不足以及对现有 SQL 查询的准备不足,因此容易受到通过“lbid”参数进行 SQL