En Análisis

MITJÀ: (6.5)

CVSS6: 5.7

El connector StaffList per a WordPress és vulnerable a la injecció SQL. Un atacant remot podria enviar declaracions SQL especialment elaborades a l’administrador.php script utilitzant el paràmetre de cerca, que podria permetre a l’atacant veure, afegir, modificar o eliminar informació a la base de dades del back-end.

Sistemes Afectats

• WordPress StaffList plugin for WordPress 3.1.2

Remediació
No hi ha cap remei disponible a partir del 2 de maig de 2022.

Referències

• https://packetstormsecurity.com/files/166918
• https://wordpress.org/plugins/stafflist/