概述
CVE-2025-9322是一个影响WordPress Stripe Payment Forms插件的高危SQL注入漏洞。
漏洞描述
WordPress的WP Full Pay Stripe支付表单插件(用于接受信用卡支付、捐款和订阅)在8.3.1及以下所有版本中存在SQL注入漏洞。该漏洞源于对用户提供的’wpfs-form-name’参数转义不足以及现有SQL查询缺乏充分准备。这使得未经身份验证的攻击者能够向现有查询追加额外的SQL查询,从而用于从数据库中提取敏感信息。
漏洞时间线
- 发布日期:2025年10月25日 07:15
- 最后修改:2025年10月25日 07:15
- 远程利用:是
- 信息来源:security@wordfence.com
受影响产品
目前尚未记录受影响的具体产品信息。
CVSS评分
| 分数 | 版本 | 严重等级 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 7.5 | CVSS 3.1 | 高 | 3.9 | 3.6 | security@wordfence.com |
解决方案
- 更新Stripe Payment Forms插件以修复SQL注入漏洞
- 将Stripe Payment Forms插件更新到最新版本
- 验证用户输入是否正确转义
- 确保SQL查询已准备就绪
参考链接
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3378785%40wp-full-stripe-free&new=3378785%40wp-full-stripe-free&sfp_email=&sfph_mail=#file6
- https://www.wordfence.com/threat-intel/vulnerabilities/id/886b612a-d0d1-4880-b423-eb62410a28cd?source=cve
CWE常见弱点枚举
CWE-89:SQL命令中使用的特殊元素的不当中和(SQL注入)
常见攻击模式枚举和分类(CAPEC)
- CAPEC-7:盲SQL注入
- CAPEC-66:SQL注入
- CAPEC-108:通过SQL注入执行命令行
- CAPEC-109:对象关系映射注入
- CAPEC-110:通过SOAP参数篡改进行SQL注入
- CAPEC-470:从数据库扩展对操作系统的控制
漏洞历史记录
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | WordPress的Stripe Payment Forms插件存在SQL注入漏洞… | |
| 新增 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | |
| 新增 | CWE | CWE-89 | |
| 新增 | 参考链接 | https://plugins.trac.wordpress.org/changeset… | |
| 新增 | 参考链接 | https://www.wordfence.com/threat-intel/… |