【安全资讯】WordPress插件‘The Events Calendar’发现严重SQL注入漏洞 (CVE-2024-8275)

概要：

近日，在受欢迎的WordPress插件‘The Events Calendar’中发现了一个严重的安全漏洞。该漏洞被标记为CVE-2024-8275，CVSS评分为9.8，说明其严重性极高。这个安全问题影响到所有版本的插件，直到6.6.4版本，可能导致攻击者通过SQL注入攻击获取敏感信息。

主要内容：

这个漏洞出现在插件的tribe_has_next_event()函数中，主要是由于‘order’参数的输入未进行充分的转义，现有的SQL查询准备不当。这一疏忽使得未认证的攻击者能够通过附加额外的SQL查询来进行SQL注入攻击。利用这个漏洞，攻击者可以从数据库中提取敏感信息，从而可能危及网站的完整性和用户数据。

需要注意的是，只有那些手动添加了tribe_has_next_event()函数的站点才会受到此SQL注入漏洞的影响。然而，由于开发者常常使用这个函数来定制他们的事件日历，这使得风险仍然相当大。‘The Events Calendar’插件有超过700,000个活跃安装，这意味着潜在的受影响范围广泛。

开发团队已经在最新的版本6.6.4.1及更新版本中修复了这一漏洞，并加强了安全措施。所有‘The Events Calendar’插件的用户都被强烈建议立即更新到这些修复版本，以确保他们的网站得到安全保障。开发人员的及时响应和补丁的发布，对于防范可能的攻击显得尤为重要。此事件再次强调了及时更新和维护网站安全的重要性。