当前位置: 首页 > news >正文

WordPress Country State City Dropdown CF7插件 SQL注入漏洞复现(CVE-2024-3495)

news 来源:原创 2024/9/21 22:41:29

0x01 产品简介

Country State City Dropdown CF7插件是一个功能强大、易于使用的WordPress插件,它为用户在联系表单中提供国家、州/省和城市的三级下拉菜单功能,帮助用户更准确地填写地区信息。同时,插件的团队和支持也非常出色,为用户提供高质量的服务。

0x02 漏洞概述

由于WordPress的Country State City Dropdown CF7插件在2.7.2及以下的版本中存在SQL注入漏洞,未经身份验证的远程攻击者可利用此漏洞获取数据库敏感信息,导致凭证密钥等信息泄露,深入利用还可能会对服务器造成严重威胁。

0x03 影响范围

Country State City Dropdown CF7 <= 2.7.2

0x04 复现环境

FOFA:

body="/wp-content/plugins/country-state-city-auto-dropdown/"

0x05 漏洞复现

访问首页获取nonce的值

GET / HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:99.0) Gecko/20100101 Firefox/99.0
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive

相关文章:

  • 北京网站建设多少钱?
  • 辽宁网页制作哪家好_网站建设
  • 高端品牌网站建设_汉中网站制作
  • 12秒窃走2500万美元加密货币,麻省理工毕业的黑客两兄弟被捕
  • 【杂七杂八】Huawei Gt runner手表系统降级
  • DOS学习-目录与文件应用操作经典案例-type
  • C# Winform实现五子棋游戏(代完善)
  • 栈——顺序存储
  • 【数据结构】【C语言】堆~动画超详细解读!
  • java解析json复杂数据补充
  • CSS伪类实现input聚焦时,上层div样式改变
  • 如何跨过robots协议的限制爬取内容?
  • 设计模式9——适配器模式
  • Prometheus+Grafana监控服务器、mysql数据库并配置报警规则推送邮箱
  • WORD、PPT技巧
  • Python文件和数据格式化-课堂练习[python123题库]
  • dmanywhere的docker制作
  • 【博客714】golang使用mmap来优化gc
  • CSS相对定位
  • JavaScript设计模式之工厂模式
  • Java比较器对数组,集合排序
  • java多线程
  • java取消线程实例
  • Spring Cloud(3) - 服务治理: Spring Cloud Eureka
  • Terraform入门 - 1. 安装Terraform
  • vue-cli3搭建项目
  • vue脚手架vue-cli
  • 从@property说起(二)当我们写下@property (nonatomic, weak) id obj时,我们究竟写了什么...
  • 翻译--Thinking in React
  • 机器人定位导航技术 激光SLAM与视觉SLAM谁更胜一筹?
  • 极限编程 (Extreme Programming) - 发布计划 (Release Planning)
  • 前端面试总结(at, md)
  • 使用common-codec进行md5加密
  • 使用Maven插件构建SpringBoot项目,生成Docker镜像push到DockerHub上
  • 学习笔记TF060:图像语音结合,看图说话
  • 追踪解析 FutureTask 源码
  • 1.Ext JS 建立web开发工程
  • ​ 全球云科技基础设施:亚马逊云科技的海外服务器网络如何演进
  • ​​​​​​​sokit v1.3抓手机应用socket数据包: Socket是传输控制层协议,WebSocket是应用层协议。
  • ​520就是要宠粉,你的心头书我买单
  • ​如何使用ArcGIS Pro制作渐变河流效果
  • #100天计划# 2013年9月29日
  • ( 用例图)定义了系统的功能需求,它是从系统的外部看系统功能,并不描述系统内部对功能的具体实现
  • (03)光刻——半导体电路的绘制
  • (1)(1.13) SiK无线电高级配置(六)
  • (1)STL算法之遍历容器
  • (C语言)strcpy与strcpy详解,与模拟实现
  • (Demo分享)利用原生JavaScript-随机数-实现做一个烟花案例
  • (TipsTricks)用客户端模板精简JavaScript代码
  • (vue)页面文件上传获取:action地址
  • (笔记)M1使用hombrew安装qemu
  • (附源码)spring boot校园健康监测管理系统 毕业设计 151047
  • (一)spring cloud微服务分布式云架构 - Spring Cloud简介
  • (转)Android中使用ormlite实现持久化(一)--HelloOrmLite
  • (转)Oracle 9i 数据库设计指引全集(1)
  • * CIL library *(* CIL module *) : error LNK2005: _DllMain@12 already defined in mfcs120u.lib(dllmodu
  • *算法训练(leetcode)第四十七天 | 并查集理论基础、107. 寻找存在的路径
  • ..thread“main“ com.fasterxml.jackson.databind.JsonMappingException: Jackson version is too old 2.3.1