CVE-2021-24704 in Orange Form Plugin情報

要約

〜によって VulDB • 2026年05月26日

Orange Form WordPress プラグインの 1.0 以前において、「admin/orange-form-email.php」内の process_bulk_action() 関数は、サニタイズされていないパラメータ ($id) を使用して準備されていない SQL クエリを実行します。この関数を呼び出すページへのアクセスは管理者のみ可能ですが、CSRF 保護の欠如により、実際には攻撃者がログイン中の管理者に任意の投稿の削除を実行させるなど、悪用可能です。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

予約する

2021年01月14日

モデレーション

承諾済み

エントリ

VDB-193919

EPSS

0.00609

アクティビティ

非常低い

セクター

Hostingprovider

ソース

Do you know our Splunk app?

Download it now for free!