The Events Calendar插件严重漏洞CVE-2024-8275

WordPress是一款免费且开源的内容管理系统（CMS），它是目前世界上使用最为广泛、最受欢迎的网站建设平台之一。

目前世界上几乎 43% 的网站都采用WordPress搭建，当然获得如此斐然的成绩，与其拥有丰富的插件和模板是分不开的。

一、基本情况

WordPress插件是为网站添加特定功能的软件，如同我们手机里的安装各种功能APP一样，插件的类型也是多种多样的。

不同类型的WordPress插件提供不同功能，比如网站优化、网络安全、页面美观、备份迁移、表单提交甚至是商店橱窗。

The Events Calendar 是一个非常流行的 WordPress 插件，能够为用户提供一个简单而且强大的方式来管理和展示活动。

该插件允许用户创建、编辑和删除活动，为每个活动添加标题、日期、时间、地点、描述等详细信息，且提供多种视图。

近日，The Events Calendar 插件被发现存在一个严重的SQL注入漏洞，漏洞被标记为CVE-2024-8275，CVSS评分为9.8。

二、漏洞分析

The Events Calendar Plugin 现有两个版本，一个是永久免费版本，高级版本起价每年149美元而且提供一年更新和支持。

The Events Calendar 插件在 6.6.4 及之前的所有版本中存在CVE-2024-8275漏洞，攻击者可通过SQL注入获取敏感信息。

由于用户指定参数的转义不足且现有SQL查询准备不足，易通过“tribe_has_next_event”函数的“order”参数遭受SQL注入。

漏洞出现在插件tribe_has_next_event()函数中，主要由于‘order’参数的输入未进行充分的转义，现有SQL查询准备不当。

这一疏忽允许未经身份验证的攻击者能够通过附加额外的SQL查询来进行SQL注入攻击，从而在数据库中提取敏感信息。

这里需要特别提醒注意的是，只有那些手动添加了 tribe_has_next_event() 函数的站点才会受到此SQL注入漏洞的影响。

尽管有这个大前提在，但不排除开发者利用该函数来自定义自己的The Events Calendar 插件，这就导致风险仍相当大。

The Events Calendar 插件目前超过700,000个活跃安装，这意味着潜在受影响范围广泛，网站完整和用户数据亟待保护。

插件开发团队已经在最新的The Events Calendar Plugin  v6.6.4.1版本及更新版本中修复了这一漏洞，并加强了安全措施。

开发团队和安全专家强烈建议所有The Events Calendar Plugin用户立即更新到这些修复版本，以确保网站得到安全保障。

三、影响范围

The Events Calendar <=6.6.4

四、修复建议

The Events Calendar Plugin 开发商已在最新版本插件修复漏洞，受影响用户需立即将插件更新至版本6.6.4.1或更高版本

五、参考链接

https://nvd.nist.gov/vuln/detail/CVE-2024-8275

https://wordpress.org/plugins/the-events-calendar/

https://plugins.trac.wordpress.org/powser/the-events-calendar?rev=3152853

https://docs.theeventscalendar.com/reference/functions/tribe_has_next_event/

https://theeventscalendar.com/knowledgebase/customizing-template-files-2-legacy/