CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2018-25434

HighCVSS 8.2
Published: Updated: Translated: NVD NIST

Summary

WP AutoSuggest w wersji 0.24 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr wpas_keys. Atakujący mogą wysyłać żądania GET do autosuggest.php z odpowiednio skonstruowanymi wartościami wpas_keys, aby wydobyć wrażliwe informacje z bazy danych WordPressa.

Risk Assessment

Podatność ta może prowadzić do ujawnienia wrażliwych danych z bazy danych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji oraz jej użytkowników. Atakujący mogą uzyskać dostęp do informacji, które mogą być wykorzystane do dalszych ataków.

Recommendation

Zaleca się aktualizację WP AutoSuggest do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto monitorować logi serwera w celu wykrycia potencjalnych prób ataków.

Original NVD description (English source)

WP AutoSuggest 0.24 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the wpas_keys parameter. Attackers can send GET requests to autosuggest.php with crafted wpas_keys values to extract sensitive database information from WordPress posts and other tables.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS