Katalog CVE

CVE-2017-20247

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka WordPress PICA Photo Gallery w wersji 1.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez parametr aid. Atakujący mogą wysyłać żądania GET z przygotowanymi ładunkami SQL w parametrze aid, aby wydobyć wrażliwe informacje z bazy danych, w tym dane logowania użytkowników oraz zawartość tabel.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym dostęp do wrażliwych danych, co może prowadzić do kradzieży tożsamości lub innych form nadużyć. W przypadku wykorzystania tej luki, organizacja może ponieść znaczne straty finansowe oraz reputacyjne.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie wtyczki PICA Photo Gallery do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa bazy danych w celu wykrycia ewentualnych nieautoryzowanych zmian.

Oryginalny opis (angielski, źródło NVD)

WordPress Plugin PICA Photo Gallery 1.0 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the aid parameter. Attackers can send GET requests with crafted SQL payloads in the aid parameter to extract sensitive database information including user credentials and table contents.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS