CVE-2021-24704 in Orange Form Plugin
Zusammenfassung
von VulDB • 02.06.2026
Im Orange Form WordPress-Plugin bis Version 1.0 führt die Funktion `process_bulk_action()` in "admin/orange-form-email.php" eine nicht vorbereitete SQL-Abfrage mit einem nicht bereinigten Parameter ($id) aus. Nur Administratoren können auf die Seite zugreifen, die die Funktion aufruft, aber aufgrund des fehlenden CSRF-Schutzes ist sie tatsächlich ausnutzbar und könnte Angreifern ermöglichen, beispielsweise beliebige Beiträge von einem angemeldeten Administrator löschen zu lassen.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.