WordPress Pierre’s Wordspew Plugin SQL befecskendezés sérülékenységek

2011. január 7. 08:14

CH azonosító

CH-4171

Angol cím

WordPress Pierre's Wordspew Plugin SQL Injection Vulnerabilities

Felfedezés dátuma

2010.01.05.

Súlyosság

Közepes

Érintett rendszerek

Pierre's Wordspew plugin
WordPress

Érintett verziók

WordPress Pierre's Wordspew Plugin 5.x

Összefoglaló

A WordPress Pierre’s Wordspew plugin olyan sérülékenységei váltak ismertté, amelyeket kihasználva a rosszindulatú felhasználók és a támadók SQL befecskendezéses (injection) támadásokat tudnak végrehajtani.

Leírás

A “jal_lastID” és “tb” paraméterekkel a wp-content/plugins/pierres-wordspew/wordspew.php-nek átadott bemeneti adat nincs megfelelően tisztázva az SQL lekérdezésekben történő használat előtt. Ez kihasználható az SQL lekérdezések módosítására tetszőleges SQL kód befecskendezésével.

A sérülékenység az 5.61-es verzióban jelentették. Más verziók is érintettek lehetnek.

Megoldás

Frissítsen a 6.0-ás vagy későbbi verzióra.

Legfrissebb sérülékenységek

CVE-2024-41110 – Docker Engine AuthZ pluginok sérülékenysége

CVE-2024-20401 – Cisco Secure Email Gateway sérülékenysége

CVE-2024-20419 – Cisco Smart Software Manager On-Prem sérülékenysége

CVE-2024-21687 – Atlassian Bamboo Data Center és Server sérülékenysége

CVE-2024-6385 – GitLab CE/EE sérülékenysége

CVE-2024-22280 – VMware Aria Automation sérülékenysége

CVE-2024-5217 – ServiceNow hiányos feketelista sérülékenysége

CVE-2024-5178 – ServiceNow hiányos feketelista sérülékenysége

CVE-2024-4879 – Service Now Inpud Validation sérülékenysége

CVE-2024-6151 – Citrix Virtual Apps and Desktops sérülékenysége

Tovább a sérülékenységekhez »

WordPress Pierre’s Wordspew Plugin SQL befecskendezés sérülékenységek