The Events Calendar <= 6.6.4 - Unauthenticated SQL Injection (CVE-2024-8275)

CVE编号

CVE-2024-8275

利用情况

暂无

补丁情况

N/A

披露时间

2024-09-25

漏洞描述

WordPress中的The Events Calendar插件存在SQL注入漏洞，该漏洞存在于所有版本至包括6.6.4的“部落有下一个事件”（tribe_has_next_event）函数的“排序”（order）参数中。由于对用户提供的参数缺乏足够的转义处理和对现有SQL查询的充分准备不足，使得未经验证的攻击者能够在现有查询中附加额外的SQL查询，从而用于从数据库中提取敏感信息。只有那些手动添加了部落有下一个事件（tribe_has_next_event）功能的网站才会面临此SQL注入的风险。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://docs.theeventscalendar.com/reference/functions/tribe_has_next_event/
https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&...
https://theeventscalendar.com/knowledgebase/customizing-template-files-2-legacy/
https://www.wordfence.com/threat-intel/vulnerabilities/id/f59891c7-db1a-4688-...

CVSS3评分 9.8

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-ID	漏洞类型
CWE-89	SQL命令中使用的特殊元素转义处理不恰当（SQL注入）

Exp相关链接

- avd.aliyun.com