CVE-2025-26988
KrytyczneCVSS 9.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 38 - wyżej niż 38% wszystkich znanych CVE
Streszczenie
Wtyczka SMS Alert Order Notifications dla WordPressa (wersje do 3.7.8 włącznie) zawiera podatność na wstrzykiwanie SQL. Luka wynika z niewłaściwego neutralizowania specjalnych elementów w zapytaniach SQL, co pozwala atakującemu na wykonanie nieautoryzowanych operacji na bazie danych.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do odczytu, modyfikacji lub usunięcia danych z bazy danych, co może prowadzić do naruszenia poufności i integralności danych oraz przejęcia kontroli nad systemem.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę SMS Alert Order Notifications do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest dostępna, należy tymczasowo wyłączyć wtyczkę.
Oryginalny opis (angielski, źródło NVD)
Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in Cozy Vision SMS Alert Order Notifications sms-alert allows SQL Injection.This issue affects SMS Alert Order Notifications: from n/a through <= 3.7.8.

