https://blog.qife122.com/tags/cve-2025-13089/ Recent content in CVE-2025-13089 on 办公AI智能小助手 Hugo zh-cn qife Sat, 13 Dec 2025 22:09:44 +0800 https://blog.qife122.com/p/wordpress-wp-directory-kit%E6%8F%92%E4%BB%B6%E9%AB%98%E5%8D%B1sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9Ecve-2025-13089%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ Sat, 13 Dec 2025 22:09:44 +0800 https://blog.qife122.com/p/wordpress-wp-directory-kit%E6%8F%92%E4%BB%B6%E9%AB%98%E5%8D%B1sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9Ecve-2025-13089%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ <h3 id="cve-2025-13089-cwe-89-在listingthemes-wp-directory-kit中对sql命令中特殊元素的不当中和sql注入">CVE-2025-13089: CWE-89 在listingthemes WP Directory Kit中对SQL命令中特殊元素的不当中和（SQL注入）</h3> <p><strong>严重性：高</strong> <strong>类型：漏洞</strong></p> <p><strong>CVE-2025-13089</strong></p> <p>WordPress的WP Directory Kit插件在1.4.7及之前的所有版本中，通过‘hide_fields’和‘attr_search’参数存在SQL注入漏洞。这是由于对用户提供的参数转义不足以及对现有SQL查询缺乏充分的预处理造成的。这使得未经验证的攻击者能够将额外的SQL查询附加到现有查询中，从而可用于从数据库提取敏感信息。</p>