CVE-2024-12023 in FULL Plugininformazioni

Riassunto

di VulDB • 01/07/2026

Il plugin FULL – Cliente per WordPress è vulnerabile a SQL Injection tramite il parametro 'formId' in tutte le versioni dalla 3.1.5 alla 3.1.25 a causa di un insufficiente escaping del parametro fornito dall'utente e della mancanza di una preparazione adeguata (preparation) della query SQL esistente. Ciò consente agli attaccanti autenticati, con accesso a livello Subscriber o superiore, di aggiungere ulteriori query SQL alle query già esistenti, che possono essere utilizzate per estrarre informazioni sensibili dal database. Questa vulnerabilità è sfruttabile solo quando la versione PRO del plugin è attivata insieme a Elementor Pro ed Elementor CRM.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Prenotare

02/12/2024

Divulgazione

02/05/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00317

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!