漏洞概述
WordPress 插件 Recipe Card Blocks Lite 在 3.4.13 版本之前存在 SQL 注入漏洞。该漏洞源于插件未对用户输入的参数进行充分的过滤和转义,便直接用于 SQL 查询语句中,导致具有 contributor(贡献者)及以上权限的用户可执行任意 SQL 命令。
漏洞详情
- CVE 编号:CVE-2025-14973
- 漏洞类型:SQL 注入(SQL Injection)
- CVSS 评分:暂无(官方尚未提供 CVSS 评分)
- 影响版本:Recipe Card Blocks Lite WordPress 插件 < 3.4.13
影响范围
所有使用 Recipe Card Blocks Lite WordPress 插件且版本低于 3.4.13 的站点均受影响。攻击者需具备 contributor 或更高权限(如 author、editor、administrator)才能利用此漏洞。
风险分析
成功利用该漏洞的攻击者可在数据库中执行任意 SQL 语句,可能导致敏感数据泄露(如用户凭证、会话信息)、数据篡改,甚至结合其他漏洞实现远程代码执行或站点完全接管,严重威胁网站安全与数据完整性。
修复建议
- 立即升级 Recipe Card Blocks Lite 插件至 3.4.13 或更高版本,以应用官方修复补丁。
- 若暂时无法升级,建议限制 contributor 及以上角色的用户权限,仅授予可信用户相应权限,并监控异常数据库活动。
