Editorial Calendar Plugin 迄 2.6 上 WordPress edcal.php edcal_filter_where edcal_startDate/edcal_endDate SQLインジェクション
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 7.4 | $0-$5k | 0.00 |
要約
脆弱性が重大として分類され、Editorial Calendar Plugin 迄 2.6 on WordPressで発見されました。 この問題により影響を受けるのは、ファイル【edcal.php】に含まれる関数【edcal_filter_where】です。 【edcal_startDate/edcal_endDate】引数を未知の値で改ざんすることが、 SQLインジェクションを突く攻撃に繋がります}。 この脆弱性はCVE-2013-10023として取引されています。 リモート攻撃が可能です。 影響を受けたコンポーネントのアップグレードを推奨します。
詳細
脆弱性が重大として分類され、Editorial Calendar Plugin 迄 2.6 on WordPressで発見されました。 この問題により影響を受けるのは、ファイル【edcal.php】に含まれる関数【edcal_filter_where】です。 【edcal_startDate/edcal_endDate】引数を未知の値で改ざんすることが、 SQLインジェクションを突く攻撃に繋がります}。 問題をCWEで宣言すると、CWE-89 になります。 この脆弱性は 2023年04月06日に公開されました 、a9277f13781187daee760b4dfd052b1b68e101ccとして。 アドバイザリはgithub.comにて共有されています。
この脆弱性はCVE-2013-10023として取引されています。 リモート攻撃が可能です。 技術詳細が存在します。 この脆弱性の一般的な利用度は平均を下回っています。 現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。 MITRE ATT&CKプロジェクトはT1505という攻撃手法を宣言しています。
未定義 として設定されています。 0-dayとして、アンダーグラウンドでの推定価格は$0-$5k程度でした。
2.7にアップグレードすることで、本問題を解消できます。 新しいバージョンはgithub.comから入手できます。 a9277f13781187daee760b4dfd052b1b68e101ccというパッチ名です。 バグ修正はgithub.comでダウンロード可能です。 影響を受けたコンポーネントのアップグレードを推奨します。 アドバイザリには以下の記述があります:
We are now validating the start and end dates before adding them to the post filter so we can make sure there's no possible SQL injection attack.
製品
タイプ
名前
バージョン
ライセンス
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 7.5VulDB 一時的なメタスコア: 7.4
VulDB ベーススコア: 6.3
VulDB 一時的なスコア: 6.0
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 9.8
NVD ベクトル: 🔍
CNA ベーススコア: 6.3
CNA ベクトル (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: SQLインジェクションCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未定義
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
0day日時: 🔍
アップグレード: Editorial Calendar Plugin 2.7
パッチ: a9277f13781187daee760b4dfd052b1b68e101cc
タイムライン
2023年04月06日 🔍2023年04月06日 🔍
2023年04月06日 🔍
2023年04月23日 🔍
ソース
勧告: a9277f13781187daee760b4dfd052b1b68e101ccステータス: 確認済み
CVE: CVE-2013-10023 (🔍)
GCVE (CVE): GCVE-0-2013-10023
GCVE (VulDB): GCVE-100-225151
エントリ
作成済み: 2023年04月06日 14:26更新済み: 2023年04月23日 15:22
変更: 2023年04月06日 14:26 (47), 2023年04月23日 15:17 (2), 2023年04月23日 15:22 (28)
完了: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。