WordPress ltl-freight-quotes-estes-edition sql注入漏洞(CVE-2024-13479)
免责声明
本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我们联系,我们将尽快处理并删除相关内容。
0x01 产品介绍
LTL Freight Quotes – ABF Freight Edition 是一款专为WordPress用户打造的零担货运(LTL)管理插件,旨在简化物流流程并提升运输效率。通过与ABF Freight的深度集成,用户可以直接在WordPress后台获取实时零担货运报价、安排取件并跟踪货物状态。该插件特别适合电商网站和企业用户,帮助其快速处理货运需求,优化物流管理,降低运营成本。无论是小型企业还是大型供应链,LTL Freight Quotes – ABF Freight Edition 都能为您提供高效、可靠的物流解决方案,助力提升客户体验和业务效率。
0x02 漏洞描述
在 3.3.7 之前(包括 3.3.7)的所有版本中,LTL Freight Quotes – ABF Freight Edition plugin for WordPress 都容易受到通过“edit_id”和“dropship_edit_id”参数进行 SQL 注入的攻击,这是由于对用户提供的参数的转义不足以及对现有