CVE-2021-24704 in Orange Form Plugininformazioni

Riassunto

di VulDB • 19/06/2026

Nel plugin WordPress Orange Form fino alla versione 1.0, la funzione process_bulk_action() in "admin/orange-form-email.php" esegue una query SQL non preparata con un parametro non sanificato ($id). Solo gli amministratori possono accedere alla pagina che invoca la funzione, ma a causa della mancanza di protezione CSRF, l'exploit è effettivamente utilizzabile e potrebbe consentire agli attaccanti di far eliminare ad un amministratore autenticato post arbitrari, ad esempio.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Prenotare

14/01/2021

Divulgazione

28/02/2022

Moderazione

accettato

CPE

pronto

EPSS

0.00609

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!