wpDiscuz до версии 7.6.47 содержит уязвимость SQL-инъекции в функции getAllSubscriptions(), из-за которой строковые параметры не имеют правильного экранирования кавычек в SQL-запросах. Злоумышленники могут внедрить вредоносный код SQL через параметры электронной почты, активации_ключа, подписки_даты и импорта_из для манипулирования запросами к базе данных и извлечения конфиденциальной информации.
Показать оригинальное описание (EN)
wpDiscuz before 7.6.47 contains an SQL injection vulnerability in the getAllSubscriptions() function where string parameters lack proper quote escaping in SQL queries. Attackers can inject malicious SQL code through email, activation_key, subscription_date, and imported_from parameters to manipulate database queries and extract sensitive information.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Gvectors Wpdiscuz
cpe:2.3:a:gvectors:wpdiscuz:*:*:*:*:*:wordpress:*:*
|
— |
7.6.47
|