CVE-2024-6166 in Unlimited Elements For Elementor Plugin
Resumen
por MITRE • 2024-07-09
El complemento Unlimited Elements For Elementor (Free Widgets, Addons, Templates) para WordPress es vulnerable a la inyección SQL basada en tiempo a través del parámetro 'addons_order' en todas las versiones hasta la 1.5.112 incluida debido a un escape insuficiente en el usuario proporcionado parámetro y falta de preparación suficiente en la consulta SQL existente. Esto hace posible que los atacantes autenticados, con acceso de nivel de colaborador y superior y permisos de edición de configuración de complementos otorgados por un administrador, agreguen consultas SQL adicionales a consultas ya existentes que se pueden usar para extraer información confidencial de la base de datos.
Once again VulDB remains the best source for vulnerability data.