CVE-2016-20072
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 - wyżej niż 18% wszystkich znanych CVE
Streszczenie
Wtyczka BBS e-Franchise 1.1.1 dla WordPressa zawiera podatność na wstrzyknięcie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr uid. Atakujący mogą skonstruować żądania do stron korzystających z shortcode wtyczki z wykorzystaniem wstrzyknięcia SQL opartego na UNION, aby wydobyć wrażliwe dane z bazy danych WordPressa, w tym informacje o użytkownikach i terminy taksonomii.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych w organizacji, umożliwiając atakującym dostęp do wrażliwych informacji. Może to prowadzić do naruszenia prywatności użytkowników oraz utraty zaufania do systemu.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie wtyczki BBS e-Franchise do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa bazy danych w celu wykrycia potencjalnych naruszeń.
Oryginalny opis (angielski, źródło NVD)
BBS e-Franchise 1.1.1 plugin for WordPress contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the uid parameter. Attackers can craft requests to pages using the plugin's shortcode with UNION-based SQL injection in the uid parameter to extract sensitive data from the WordPress database including user information and taxonomy terms.

