Katalog CVE

CVE-2026-7842

ŚrednieCVSS 6.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 6 — wyżej niż 6% wszystkich znanych CVE

Streszczenie

Wtyczka Infility Global dla WordPressa przed wersją 2.15.20 nie sanitizuje ani nie waliduje parametrów orderby i order w wywołaniach admin page import_list(), url_detail() oraz file_detail(). To umożliwia uwierzytelnionym atakującym z dostępem na poziomie Edytora lub wyższym przeprowadzenie czasowego ślepego ataku SQL i wydobycie wrażliwych danych z bazy danych.

Ocena ryzyka

Atakujący mogą uzyskać dostęp do wrażliwych danych w bazie danych, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty poufności informacji w organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki Infility Global do wersji 2.15.20 lub nowszej oraz włączenie modułu ImportData, aby zminimalizować ryzyko ataków SQL injection.

Oryginalny opis (angielski, źródło NVD)

The Infility Global Infility Global WordPress plugin before 2.15.20 for WordPress does not sanitize or validate the orderby and order parameters in the import_list(), url_detail(), and file_detail() admin page callbacks before using them in SQL queries, allowing authenticated attackers with Editor-level access or higher to perform time-based blind SQL injection and extract sensitive data from the database. The ImportData module must be enabled via the Infility Global WordPress plugin before 2.15.20's module toggle page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS