CVE-2016-20062
WysokieCVSS 8.2Streszczenie
Wtyczka Simply Poll w wersji 1.4.1 dla WordPressa zawiera podatność na wstrzyknięcie SQL, która pozwala nieautoryzowanym atakującym na wydobycie informacji z bazy danych poprzez wstrzyknięcie kodu SQL przez parametr POST 'pollid'. Atakujący mogą wysyłać żądania do punktu końcowego admin-ajax.php z akcją 'spAjaxResults' oraz złośliwymi wartościami 'pollid', aby wykonywać dowolne zapytania SQL i odczytywać wrażliwe dane z bazy danych WordPressa.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych w organizacji, umożliwiając atakującym dostęp do wrażliwych informacji przechowywanych w bazie danych. Może to prowadzić do utraty poufności danych oraz naruszenia prywatności użytkowników.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie wtyczki Simply Poll do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt bezpieczeństwa bazy danych w celu wykrycia ewentualnych nieautoryzowanych działań.
Oryginalny opis (angielski, źródło NVD)
Simply Poll 1.4.1 plugin for WordPress contains an SQL injection vulnerability that allows unauthenticated attackers to extract database information by injecting SQL code through the 'pollid' POST parameter. Attackers can send requests to the admin-ajax.php endpoint with the 'spAjaxResults' action and malicious 'pollid' values to execute arbitrary SQL queries and read sensitive data from the WordPress database.

