CVE-2024-8911 in LatePoint Plugin
Riassunto
di VulDB • 08/07/2026
Il plugin LatePoint per WordPress è vulnerabile alla modifica arbitraria della password dell'utente tramite SQL Injection nelle versioni fino alla 5.0.11 incluse. Ciò è dovuto a un insufficiente escaping del parametro fornito dall'utente e alla mancanza di una preparazione adeguata della query SQL esistente. Questo consente agli attaccanti non autenticati di modificare le password degli utenti e potenzialmente assumere il controllo degli account amministratore. Si noti che la modifica della password di un utente WordPress è possibile solo se l'impostazione "Use WordPress users as customers" (Utilizza gli utenti WordPress come clienti) è abilitata, disabilitata per impostazione predefinita. Senza questa impostazione abilitata, possono essere modificate solo le password dei clienti del plugin, che sono memorizzate e gestite in una tabella di database separata.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.