Katalog CVE

CVE-2019-25746

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 13 — wyżej niż 13% wszystkich znanych CVE

Streszczenie

Wtyczka WordPress Sliced Invoices w wersji 3.8.2 zawiera podatność na uwierzytelnioną iniekcję SQL, która pozwala atakującym na manipulację zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL przez parametr 'post'. Atakujący mogą wysyłać żądania do punktu końcowego admin.php z akcją=duplicate_quote_invoice oraz złośliwymi wartościami 'post', aby wydobyć wrażliwe informacje z bazy danych lub modyfikować dane.

Ocena ryzyka

Podatność ta stwarza ryzyko wycieku wrażliwych danych oraz nieautoryzowanej modyfikacji danych w bazie, co może prowadzić do poważnych konsekwencji dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki Sliced Invoices do najnowszej wersji, aby usunąć tę podatność oraz przeglądanie logów w celu wykrycia potencjalnych prób ataków.

Oryginalny opis (angielski, źródło NVD)

WordPress Sliced Invoices 3.8.2 contains an authenticated SQL injection vulnerability that allows authenticated attackers to manipulate database queries by injecting SQL code through the 'post' parameter. Attackers can send requests to the admin.php endpoint with action=duplicate_quote_invoice and malicious 'post' values to extract sensitive database information or modify data.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS