Katalog CVE

CVE-2018-25434

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

WP AutoSuggest w wersji 0.24 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr wpas_keys. Atakujący mogą wysyłać żądania GET do autosuggest.php z odpowiednio skonstruowanymi wartościami wpas_keys, aby wydobyć wrażliwe informacje z bazy danych WordPressa.

Ocena ryzyka

Podatność ta może prowadzić do ujawnienia wrażliwych danych z bazy danych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji oraz jej użytkowników. Atakujący mogą uzyskać dostęp do informacji, które mogą być wykorzystane do dalszych ataków.

Rekomendacja

Zaleca się aktualizację WP AutoSuggest do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto monitorować logi serwera w celu wykrycia potencjalnych prób ataków.

Oryginalny opis (angielski, źródło NVD)

WP AutoSuggest 0.24 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the wpas_keys parameter. Attackers can send GET requests to autosuggest.php with crafted wpas_keys values to extract sensitive database information from WordPress posts and other tables.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS