CVE-2021-24704 in Orange Form Plugin
要約
〜によって VulDB • 2026年05月26日
Orange Form WordPress プラグインの 1.0 以前において、「admin/orange-form-email.php」内の process_bulk_action() 関数は、サニタイズされていないパラメータ ($id) を使用して準備されていない SQL クエリを実行します。この関数を呼び出すページへのアクセスは管理者のみ可能ですが、CSRF 保護の欠如により、実際には攻撃者がログイン中の管理者に任意の投稿の削除を実行させるなど、悪用可能です。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.