CVE-2017-20244
WysokieCVSS 8.2Streszczenie
Wtyczka Wow Forms dla WordPressa w wersji 2.1 zawiera podatność na wstrzyknięcie SQL, która pozwala nieautoryzowanym atakującym na odczyt dowolnych informacji z bazy danych poprzez wykorzystanie nieescapowanego parametru POST.
Ocena ryzyka
Atakujący mogą wstrzykiwać kod SQL przez parametr 'mwpformid', co może prowadzić do ujawnienia wrażliwych danych z bazy danych, stanowiąc poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację wtyczki Wow Forms do najnowszej wersji, aby usunąć tę podatność oraz przegląd zabezpieczeń aplikacji w celu zminimalizowania ryzyka wstrzyknięcia SQL.
Oryginalny opis (angielski, źródło NVD)
Wow Forms WordPress Plugin version 2.1 contains an SQL injection vulnerability that allows unauthenticated attackers to read arbitrary database information by exploiting an unescaped POST parameter. Attackers can inject SQL code through the 'mwpformid' parameter in requests to the admin-ajax.php endpoint with the 'send_mwp_form' action to extract sensitive database contents.

