事件经过
AIWU AI Copilot 内容生成器 WordPress 插件(<=1.5.4)包含盲 SQL 注入漏洞,CVSS 9.3,允许攻击者操纵后端 SQL 查询。
影响分析
尽管 CVSS 分数严重,但这仅影响单个利基 WordPress AI 内容生成插件而不是核心 AI 基础设施,限制了影响范围仅限于运行此特定插件的网站;仍然相关,因为它是一个具有数据库泄露可能性(内容/配置泄露)的 AI 生成工具。
攻击途径
对 SQL 命令中特殊元素的不当中性化处理允许针对 AI 内容生成器插件数据库查询的盲 SQL 注入。
受影响系统
Sergey AIWU ai-copilot-content-generator WordPress 插件,至 1.5.4
缓解措施
根据 Patchstack 公告可用后,更新到 1.5.4 之后的修补版本。