Wordpress Plugin Ultimate Auction Pro /wp-admin/admin-ajax.php uwa_see_more_bids_ajax SQL 注入漏洞 （CVE-2025-4204）

WordPress的Ultimate Auction Pro插件在1.5.2及之前所有版本中存在参数为‘auction_id'的SQL注入漏洞，该漏洞源于对用户提供参数转义不充分以及现有SQL查询缺乏充分预处理。这使得未经身份验证的攻击者能够向现有查询附加额外SQL语句，从而从数据库提取敏感信息。