CVE-2016-20073
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 - wyżej niż 18% wszystkich znanych CVE
Streszczenie
Wtyczka Answer My Question 1.3 dla WordPressa zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr POST 'id'. Atakujący mogą przesyłać spreparowane zapytania SQL do punktu końcowego modal.php, aby wydobyć wrażliwe informacje z bazy danych, w tym terminy WordPressa i dane konfiguracyjne.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych w organizacji, umożliwiając atakującym dostęp do poufnych informacji z bazy danych. Może to prowadzić do utraty danych, naruszenia prywatności oraz potencjalnych ataków na inne systemy.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie wtyczki Answer My Question do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa bazy danych w celu wykrycia i zminimalizowania potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
Answer My Question 1.3 plugin for WordPress contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the 'id' POST parameter. Attackers can submit crafted SQL statements to the modal.php endpoint to extract sensitive database information including WordPress terms and configuration data.

