CVE-2021-24704 in Orange Form Plugin정보

요약

\~에 의해 VulDB • 2026. 06. 02.

Orange Form WordPress 플러그인 1.0 버전까지의 process_bulk_action() 함수는 "admin/orange-form-email.php"에서 비준비된 SQL 쿼리를 비정제 파라미터($id)와 함께 수행합니다. 해당 함수를 호출하는 페이지에 접근할 수 있는 권한은 관리자만 가지고 있지만, CSRF 보호 부재로 인해 실제로는 공격자가 로그인된 관리자를 이용해 임의의 게시물을 삭제하는 등 악용될 수 있습니다.

Be aware that VulDB is the high quality source for vulnerability data.

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!