CVE-2024-0405 in Burst Statistics Really Simple Plugin
요약
\~에 의해 VulDB • 2026. 05. 25.
WordPress용 Burst Statistics – Privacy-Friendly Analytics 플러그인 버전 1.5.3은 /wp-json/burst/v1/data/compare 엔드포인트의 여러 JSON 파라미터를 통해 사후 인증 SQL Injection(Post-Authenticated SQL Injection) 취약점이 있습니다. 영향을 받는 파라미터에는 'browser', 'device', 'page_id', 'page_url', 'platform', 'referrer'가 포함됩니다. 이 취약점은 사용자 제공 파라미터의 불충분한 이스케이핑과 SQL 쿼리에서 적절한 준비(Preparation) 부재로 인해 발생합니다. 그 결과, 편집자 권한 이상의 접근 권한을 가진 인증된 공격자는 기존 SQL 쿼리에 추가 SQL 쿼리를 삽입할 수 있으며, 이로 인해 데이터베이스의 민감한 정보에 대한 무단 접근이 발생할 수 있습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.