CVE-2021-24704 in Orange Form Plugininfo

Zusammenfassung

von VulDB • 02.06.2026

Im Orange Form WordPress-Plugin bis Version 1.0 führt die Funktion `process_bulk_action()` in "admin/orange-form-email.php" eine nicht vorbereitete SQL-Abfrage mit einem nicht bereinigten Parameter ($id) aus. Nur Administratoren können auf die Seite zugreifen, die die Funktion aufruft, aber aufgrund des fehlenden CSRF-Schutzes ist sie tatsächlich ausnutzbar und könnte Angreifern ermöglichen, beispielsweise beliebige Beiträge von einem angemeldeten Administrator löschen zu lassen.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Reservieren

14.01.2021

Veröffentlichung

28.02.2022

Moderieren

akzeptiert

Eintrag

VDB-193919

CPE

bereit

EPSS

0.00609

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!