badgeos badgos sql命令中使用的特殊元素转义处理不恰当（sql注入）

admin

0
文章

0
评论

2023-11-30 05:57:12 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

badgeos badgos sql命令中使用的特殊元素转义处理不恰当（sql注入）

CVE编号

CVE-2022-2958

利用情况

暂无

补丁情况

N/A

披露时间

2022-09-19

漏洞描述

The BadgeOS WordPress plugin before 3.7.1.3 does not sanitise and escape parameters before using them in SQL statements via AJAX actions available to any authenticated users, leading to SQL Injections

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://wpscan.com/vulnerability/8743534f-8ebd-496a-99bc-5052a8bac86a

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	badgeos	badgos	*		Up to (excluding) 3.7.1.3
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	kernel	*		Up to (excluding) 4.19.91-26.al7
	运行在以下环境
	系统	amazon_2	kernel	*		Up to (excluding) 5.10.112-108.499.amzn2
	运行在以下环境
	系统	amazon_2022	kernel	*		Up to (excluding) 5.15.43-20.123.amzn2022
	运行在以下环境
	系统	amazon_2023	kernel	*		Up to (excluding) 6.1.10-15.42.amzn2023
	运行在以下环境
	系统	amazon_AMI	kernel	*		Up to (excluding) 4.14.281-144.502.amzn1
	运行在以下环境
	系统	anolis_os_7	kernel	*		Up to (excluding) 4.19
	运行在以下环境
	系统	anolis_os_8	kernel	*		Up to (excluding) 5.10
	运行在以下环境
	系统	centos_8	kernel	*		Up to (excluding) 4.18.0-425.3.1.el8
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	kernel	*		Up to (excluding) 4.19.90-25.16.v2101.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	kernel	*		Up to (excluding) 4.19.90-25.16.v2101.ky10
	运行在以下环境
	系统	opensuse_5.2	kernel	*		Up to (excluding) 5.3.18-150300.59.90.1.150300.18.52.1
	运行在以下环境
	系统	opensuse_Leap_15.3	kernel	*		Up to (excluding) 5.3.18-150300.59.90.1
	运行在以下环境
	系统	opensuse_Leap_15.4	dtb-al	*		Up to (excluding) 5.14.21-150400.24.18.1
	运行在以下环境
	系统	oracle_8	kernel	*		Up to (excluding) 4.18.0-425.3.1.el8
	运行在以下环境
	系统	oracle_9	kernel	*		Up to (excluding) 5.14.0-162.6.1.el9_1
	运行在以下环境
	系统	redhat_8	kernel	*		Up to (excluding) 4.18.0-425.3.1.el8
	运行在以下环境
	系统	redhat_9	kernel	*		Up to (excluding) 5.14.0-162.6.1.el9_1
	运行在以下环境
	系统	suse_12_SP5	kernel	*		Up to (excluding) 4.12.14-122.133.1