WordPress Fancy Product Designer插件Sql注入漏洞复现（CVE-2024-51818）（附脚本）

免责申明：

本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权，请及时与我们联系，我们将尽快处理并删除相关内容。

0x01 产品描述：

        WordPress Fancy Product Designer 是一款功能强大的产品定制插件，允许用户在前端页面实时设计和个性化产品，如 T 恤、杯子、海报等。它提供丰富的设计工具，包括文本、图像、形状的添加与编辑，并支持多种产品类型和设计区域。该插件还集成了 WooCommerce，方便用户将定制产品直接加入购物车，是电商网站实现个性化定制服务的理想选择。
0x02 漏洞描述：

        Fancy Product Designer 插件在 特定版本中存在 SQL 注入漏洞，原因是未对用户提供的参数进行充分转义和验证，同时缺乏对 SQL 查询的严格准备。这使得未经身份