WordPress Store Locator Plus 插件'query'参数SQL注入漏洞

漏洞版本:

WordPress Store Locator Plus Plugin 3.x

漏洞描述:

BUGTRAQ  ID: 57222

WordPress Store Locator Plus插件可以在站点上放置一个商铺搜查程序。

WordPress Store Locator Plus 3.8.6及之前版本没有正确验证wp-content/plugins/store-locator-le/downloadcsv.php内的"query"参数值,通过注入任意SQL代码,可被利用操作SQL查询。
<* 参考
http://www.securityfocus.com/bid/57222/info 
http://www.securelist.com/en/advisories/51757
*>
【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/security4399/p/2855938.html