漏洞描述
WordPress Fancy Product Designer 是一款功能强大的产品定制插件,允许用户在前端页面实时设计和个性化产品,如 T恤、杯子、海报等。 它提供丰富的设计工具,包括文本、图像、形状的添加与编辑,并支持多种产品类型和设计区域。Fancy Product Designer 插件在特定版本中存在 SQL 注入漏洞,原因是未对用户提供的参数进行充分转义和验证,同时缺乏对 SQL 查询的严格准备。这使得未经身份验证的攻击者能够通过注入恶意SQL 代码来操纵数据库查询,从而提取敏感信息,如用户数据、配置信息等。