WordPress Post to CSV by BestWebSoft CSV注入漏洞

 漏洞資訊     |      2023-05-17

一、漏洞分析

公開日期:2023-05-04

危害級(jí)別:高 (AV:N/AC:L/Au:N/C:P/I:P/A:P)

二、漏洞描述

GWordPress和WordPress plugin都是WordPress基金會(huì)的產(chǎn)品。WordPress是一套使用PHP語(yǔ)言開發(fā)的博客平臺(tái)。該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站。WordPress plugin是一個(gè)應(yīng)用插件。

WordPress Post to CSV by BestWebSoft 1.4.0及之前版本存在CSV注入漏洞,該漏洞源于將數(shù)據(jù)導(dǎo)出為CSV時(shí)無(wú)法正確轉(zhuǎn)義字段,攻擊者可利用漏洞導(dǎo)致CSV注入攻擊。漏洞類型:通用型漏洞

三、影響產(chǎn)品

WordPress BestWebSoft <=1.4.0

四、漏洞解決方案

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:

https://wpscan.com/vulnerability/689b4c42-c516-4c57-8ec7-3a6f12a3594e