严重SQL注入漏洞影响TI WooCommerce Wishlist插件，超10万WordPress网站面临风险

1輩吇筷楽

一个严重的安全漏洞在广泛使用的WordPress插件TI WooCommerce Wishlist中被发现，可能使超过10万个网站暴露于恶意攻击之下。该漏洞被标记为CVE-2024-43917，其CVSS评分为9.3，允许未经认证的用户执行任意SQL查询，从而可能获得对受影响网站的完全控制。

这个漏洞源于插件代码中的SQL注入缺陷。攻击者可以利用此漏洞绕过安全措施并操纵WordPress站点的数据库，导致数据泄露、篡改网页内容甚至完全接管网站。

截至插件的最新版本2.8.2，该漏洞仍未得到修补，这给网站管理员和所有者留下了有限的选择来保障他们的网站安全。同时，Patchstack的Ananda Dhakal已经公布了与此漏洞相关的技术细节，进一步强调了问题的严重性以及采取紧急行动的必要性。

如果您在您的WordPress网站上使用了TI WooCommerce Wishlist插件，强烈建议您立即停用并删除该插件。在没有修复版本的情况下继续使用该插件，将使您的网站面临重大风险，可能会让攻击者破坏数据库并访问敏感信息。

更多详细信息和技术见解，请参阅Patchstack关于CVE-2024-43917的公告。