WordPress Icegram Express插件Sql注入漏洞复现(CVE-2024-2876)（附脚本）

免责申明：

本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权，请及时与我们联系，我们将尽快处理并删除相关内容。

0x01 产品描述：

        Icegram Express 是一款专为 WordPress 设计的轻量级电子邮件订阅和营销插件，帮助网站管理员轻松收集订阅者并发送电子邮件通讯。它支持多种表单样式、弹出窗口和浮动条，能够有效提升用户参与度和转化率。此外，Icegram Express 还提供自动化邮件发送、列表管理等功能，并与主流电子邮件服务无缝集成，是提升网站营销效果的有力工具。
0x02 漏洞描述：

        Icegram Express插件中通过'IG_ES_Subscribers_Query'类的'run'函数，由于对用户提供的参数逃逸不足以及对现有SQL查询准备不足。这使得未授权的攻击者可以将额外的SQL查询追加到已存