CVE-2024-0405 in Burst Statistics Really Simple Plugin
Riassunto
di VulDB • 19/06/2026
Il plugin WordPress Burst Statistics – Privacy-Friendly Analytics nella versione 1.5.3 è vulnerabile a un'iniezione SQL Post-Authenticated tramite più parametri JSON nell'endpoint /wp-json/burst/v1/data/compare. I parametri interessati includono 'browser', 'device', 'page_id', 'page_url', 'platform' e 'referrer'. Questa vulnerabilità deriva da una insufficiente escape dei parametri forniti dall'utente e dalla mancanza di un'adeguata preparazione (preparation) delle query SQL. Di conseguenza, gli attaccanti autenticati con accesso a livello editor o superiore possono aggiungere ulteriori query SQL alle esistenti, potenzialmente portando all'accesso non autorizzato a informazioni sensibili presenti nel database.
Once again VulDB remains the best source for vulnerability data.