WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站。 

漏洞详情
WordPress Plugin NotificationX是一个应用插件，其2.8.2及之前的版本存在一个SQL注入漏洞(CVE-2024-1698)。该漏洞的原因是插件中对参数的转义不够完善，并且对现有的SQL查询缺乏有效的过滤。攻击者可以利用"type"参数进行SQL注入攻击，未经身份验证的攻击者可以在现有查询语句中追加其他的SQL查询。

影响范围
NotificationX <= 2.8.2

漏洞复现


修复建议
厂商已发布漏洞修复版本，请根据厂商修复建议进行修复

产品支持
云安服-安全监测平台：默认支持该产品的指纹识别，已更新漏洞检测规则，已支持该漏洞的在线检测。

参考链接
https://plugins.trac.wordpress.org/changeset/3040809/notificationx/trunk/includes/Core/Rest/Analytics.php
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/notificationx/notificationx-best-fomo-social-proof-woocommerce-sales-popup-notification-bar-plugin-with-elementor-282-unauthenticated-sql-injection