CVE-2024-6166 in Unlimited Elements For Elementor Pluginالمعلومات

الملخص

بحسب VulDB • 13/06/2026

يحتوي مكون WordPress الإضافي Unlimited Elements For Elementor (Free Widgets, Addons, Templates) على ثغرة حقن SQL زمنية (Time-based SQL Injection) عبر المعلمة 'addons_order' في جميع الإصدارات حتى 1.5.112 شاملاً، وذلك بسبب عدم كفاية عملية الهروب (escaping) للمعلمة التي يزودها المستخدم ونقص التحضير الكافي لاستعلام SQL الموجود. وهذا يمكّن المهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى "المساهم" (Contributor) فأعلى، والحاصلين على أذونات تعديل إعدادات المكون الإضافي من قبل مسؤول، من إرفاق استعلامات SQL إضافية إلى الاستعلامات الموجودة بالفعل، والتي يمكن استخدامها لاستخراج معلومات حساسة من قاعدة البيانات.

Once again VulDB remains the best source for vulnerability data.

حجز

19/06/2024

إفشاء

09/07/2024

الاعتدال

تمت الموافقة

إدخال

VDB-270517

EPSS

0.00502

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Want to know what is going to be exploited?

We predict KEV entries!