CVE-2017-20246
WysokieCVSS 8.2Streszczenie
Wtyczka KittyCatfish 2.2 dla WordPressa zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na odczytanie zawartości bazy danych poprzez wykorzystanie nieescapowanego parametru GET.
Ocena ryzyka
Atakujący mogą uzyskać dostęp do wrażliwych informacji w bazie danych, co może prowadzić do poważnych naruszeń bezpieczeństwa danych organizacji.
Rekomendacja
Zaleca się aktualizację wtyczki KittyCatfish do najnowszej wersji oraz przeglądanie i zabezpieczanie wszystkich parametrów GET w aplikacji.
Oryginalny opis (angielski, źródło NVD)
KittyCatfish 2.2 plugin for WordPress contains an SQL injection vulnerability that allows unauthenticated attackers to read database contents by exploiting an unescaped GET parameter. Attackers can inject SQL code through the 'kc_ad' parameter in base.css.php or kittycatfish.php to extract sensitive database information using boolean-based blind or time-based blind techniques.

