CVE-2018-25434
HighCVSS 8.2Summary
WP AutoSuggest w wersji 0.24 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr wpas_keys. Atakujący mogą wysyłać żądania GET do autosuggest.php z odpowiednio skonstruowanymi wartościami wpas_keys, aby wydobyć wrażliwe informacje z bazy danych WordPressa.
Risk Assessment
Podatność ta może prowadzić do ujawnienia wrażliwych danych z bazy danych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji oraz jej użytkowników. Atakujący mogą uzyskać dostęp do informacji, które mogą być wykorzystane do dalszych ataków.
Recommendation
Zaleca się aktualizację WP AutoSuggest do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto monitorować logi serwera w celu wykrycia potencjalnych prób ataków.
Original NVD description (English source)
WP AutoSuggest 0.24 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the wpas_keys parameter. Attackers can send GET requests to autosuggest.php with crafted wpas_keys values to extract sensitive database information from WordPress posts and other tables.

