CVE-2017-20243
WysokieCVSS 8.2Streszczenie
Wtyczka WordPress Car Park Booking w wersji 13 października 2017 zawiera podatność na atak typu SQL injection opartą na czasie, która pozwala nieautoryzowanym atakującym manipulować zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL przez parametr space_id.
Ocena ryzyka
Atakujący mogą wysyłać żądania GET do punktu końcowego booking-page z złośliwymi wartościami space_id, co może prowadzić do ujawnienia wrażliwych informacji z bazy danych.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji oraz wprowadzenie dodatkowych zabezpieczeń, aby zminimalizować ryzyko ataków SQL injection.
Oryginalny opis (angielski, źródło NVD)
WordPress Car Park Booking Plugin version 13 October 17 contains a time-based SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the space_id parameter. Attackers can send GET requests to the booking-page endpoint with malicious space_id values using AND SLEEP() payloads to extract sensitive database information.

