WordPress Advanced WooCommerce Product Sales Reporting 插件 <= 4.1.3 - (SQL Injection) 漏洞

攻击者可以利用此 SQL 注入漏洞执行恶意 SQL 查询，从而访问、修改或删除数据库中的敏感数据。由于是盲 SQL 注入，攻击者可能需要通过多次查询来推断数据的存在和内容，这使得攻击过程相对隐蔽，但仍然可能导致严重的数据泄露。潜在的数据泄露包括客户信息、订单数据、财务记录等。如果数据库服务器与其他系统连接，攻击者可能利用此漏洞进行横向移动，进一步扩大攻击范围。此漏洞的潜在影响类似于其他已知的 SQL 注入事件，可能导致严重的业务中断和声誉损失。

WooCommerce store owners using the Advanced WooCommerce Product Sales Reporting plugin, particularly those running versions 0.0.0 through 4.1.3, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially expose data from others.

• wordpress / composer / npm:

grep -r "WPFactory Advanced WooCommerce Product Sales Reporting" /var/www/html/

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/advanced-woocommerce-product-sales-reporting/ | grep SQL

• wordpress / composer / npm:

wp plugin list | grep advanced-woocommerce-product-sales-reporting

1. 2026-03-25Disclosure

   disclosure

1. 已保留2026-01-28
2. 发布日期2026-03-25
3. 修改日期2026-04-28
4. EPSS 更新日期2026-04-02

最有效的缓解措施是立即将 Advanced WooCommerce Product Sales Reporting 升级至 4.1.4 版本或更高版本。如果无法立即升级，可以考虑实施一些临时缓解措施。例如，可以使用 Web 应用防火墙 (WAF) 来过滤恶意 SQL 查询。此外，可以审查和加强数据库访问权限控制，确保只有授权用户才能访问敏感数据。还可以考虑对输入数据进行严格的验证和过滤，以防止恶意 SQL 代码的注入。在升级后，请验证漏洞是否已成功修复，例如通过执行一些测试查询来确认。

活跃安装数

400小众

插件评分