WordPress Store Locator Plus bővítmény SQL befecskendezéses sérülékenység

2013. január 10. 07:11

CH azonosító

CH-8218

Angol cím

WordPress Store Locator Plus Plugin "query" SQL Injection Vulnerability

Felfedezés dátuma

2013.01.09.

Súlyosság

Közepes

Érintett rendszerek

Store Locator Plus Plugin
WordPress

Érintett verziók

WordPress Store Locator Plus bővítmény 3.x

Összefoglaló

A WordPress Store Locator Plus bővítmény olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak SQL befecskendezés (SQL injection) támadások kezdeményezésére.

Leírás

A “query” POST paraméterrel a wp-content/plugins/store-locator-le/downloadcsv.php részére átadott bemeneti adat nincs megfelelően ellenőrizve, mielőtt az SQL lekérdezésekben felhasználásra kerülne. Ez tetszőleges SQL kód befecskendezésével kihasználható az SQL lekérdezések manipulálására.

A sérülékenységet a 3.8.6 verzióban ismerték fel, de korábbi kiadások is érintettek lehetnek.

Legfrissebb sérülékenységek

CVE-2026-21877 – n8n Remote Code Execution via Arbitrary File Write sérülékenység

CVE-2025-68668 – n8n Arbitrary Command Execution sérülékenység

CVE-2025-68613 – n8n Remote Code Execution via Expression Injection sérülékenység

CVE-2026-21858 – n8n Unauthenticated File Access via Improper Webhook Request Handling sérülékenység

CVE-2025-37164 – Hewlett Packard Enterprise OneView Code Injection sérülékenység

CVE-2009-0556 – Microsoft Office PowerPoint Code Injection sérülékenység

CVE-2026-0625 – D-Link DSL Command Injection via DNS Configuration Endpoint sérülékenység

CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication sérülékenysége

CVE-2025-14733 – WatchGuard Firebox Out of Bounds Write sérülékenység

CVE-2023-52163 – Digiever DS-2105 Pro Missing Authorization sérülékenység

Tovább a sérülékenységekhez »

WordPress Store Locator Plus bővítmény SQL befecskendezéses sérülékenység