Katalog CVE

CVE-2016-20073

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 18 - wyżej niż 18% wszystkich znanych CVE

Streszczenie

Wtyczka Answer My Question 1.3 dla WordPressa zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr POST 'id'. Atakujący mogą przesyłać spreparowane zapytania SQL do punktu końcowego modal.php, aby wydobyć wrażliwe informacje z bazy danych, w tym terminy WordPressa i dane konfiguracyjne.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych w organizacji, umożliwiając atakującym dostęp do poufnych informacji z bazy danych. Może to prowadzić do utraty danych, naruszenia prywatności oraz potencjalnych ataków na inne systemy.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie wtyczki Answer My Question do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa bazy danych w celu wykrycia i zminimalizowania potencjalnych zagrożeń.

Oryginalny opis (angielski, źródło NVD)

Answer My Question 1.3 plugin for WordPress contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the 'id' POST parameter. Attackers can submit crafted SQL statements to the modal.php endpoint to extract sensitive database information including WordPress terms and configuration data.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS