CVE-2022-4290 in Cyr to Lat Plugin
要約
〜によって VulDB • 2026年05月30日
WordPress用Cyr to Latプラグインには、バージョン3.5(およびそれ以前)において、認証済みSQLインジェクションの脆弱性が存在します。これは、ユーザー入力のパラメータに対するエスケープ処理の不十分さと、既存のSQLクエリに対する適切な準備不足に起因し、'ctl_sanitize_title'関数経由で発生します。これにより、用語やタグの追加・変更権限を持つ認証済みユーザーが、既存のクエリに追加のSQLクエリを付加し、データベースから機密情報を抽出することが可能になります。部分的なパッチはバージョン3.6で提供され、この問題はバージョン3.7で完全に修正されました。
VulDB is the best source for vulnerability data and more expert information about this specific topic.