WordPress Booking Calendar 插件曝出高危SQL注入漏洞

文章详细披露了WordPress的Booking Calendar插件中存在的一个高危SQL注入漏洞(CVE-2025-14383)。该漏洞源于对用户输入参数‘dates_to_check’的过滤和SQL查询准备不充分,允许未授权攻击者执行时间盲注攻击,窃取数据库中的敏感信息。

CVE-2025-14383: CWE-89 在 wpdevelop Booking Calendar 中用于 SQL 命令的特殊元素中和不当(SQL 注入)

严重性:高 类型:漏洞

CVE-2025-14383

WordPress 的 Booking Calendar 插件存在基于时间的盲 SQL 注入漏洞,影响所有 10.14.8 及之前的版本。漏洞利用参数为 dates_to_check。该漏洞是由于对用户提供的参数转义不足以及对现有 SQL 查询的准备不充分所导致。这使得未经身份验证的攻击者能够向现有查询中追加额外的 SQL 查询,从而用于从数据库中提取敏感信息。

来源: CVE Database V5 发布日期: 2025年12月15日 星期一

技术详情

  • 数据版本: 5.2
  • 分配者简称: Wordfence
  • 预留日期: 2025-12-09T19:34:02.844Z
  • Cvss 版本: 3.1
  • 状态: 已发布
  • 威胁 ID: 69401ef9d9bcdf3f3de1279c
  • 添加到数据库: 2025年12月15日,下午2:45:13
  • 最后更新: 2025年12月15日,下午2:45:39
  • 查看次数: 1

相关威胁

  • CVE-2025-14156: CWE-20 Fox LMS – WordPress LMS 插件中的输入验证不当(严重)
  • CVE-2025-14003: CWE-862 Image Gallery – Photo Grid & Video Gallery 插件中缺少授权(中危)
  • CVE-2025-13950: CWE-862 OneSignal – Web Push Notifications 插件中缺少授权(中危)
  • CVE-2025-13728: CWE-79 FluentAuth – WordPress 授权与安全插件中的跨站脚本漏洞(中危)
  • CVE-2025-13610: CWE-79 RegistrationMagic – 自定义注册表单、用户注册、支付和用户登录插件中的跨站脚本漏洞(中危)

外部链接

  • NVD 数据库
  • MITRE CVE
  • 参考链接 1
  • 参考链接 2
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次