CVE-2026-7842
ŚrednieCVSS 6.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
Wtyczka Infility Global dla WordPressa przed wersją 2.15.20 nie sanitizuje ani nie waliduje parametrów orderby i order w wywołaniach admin page import_list(), url_detail() oraz file_detail(). To umożliwia uwierzytelnionym atakującym z dostępem na poziomie Edytora lub wyższym przeprowadzenie czasowego ślepego ataku SQL i wydobycie wrażliwych danych z bazy danych.
Ocena ryzyka
Atakujący mogą uzyskać dostęp do wrażliwych danych w bazie danych, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty poufności informacji w organizacji.
Rekomendacja
Zaleca się aktualizację wtyczki Infility Global do wersji 2.15.20 lub nowszej oraz włączenie modułu ImportData, aby zminimalizować ryzyko ataków SQL injection.
Oryginalny opis (angielski, źródło NVD)
The Infility Global Infility Global WordPress plugin before 2.15.20 for WordPress does not sanitize or validate the orderby and order parameters in the import_list(), url_detail(), and file_detail() admin page callbacks before using them in SQL queries, allowing authenticated attackers with Editor-level access or higher to perform time-based blind SQL injection and extract sensitive data from the database. The ImportData module must be enabled via the Infility Global WordPress plugin before 2.15.20's module toggle page.

