CVE-2021-24704 in Orange Form Plugininformação

Sumário

de VulDB • 26/05/2026

No plugin WordPress Orange Form até a versão 1.0, a função process_bulk_action() em "admin/orange-form-email.php" executa uma consulta SQL não preparada com um parâmetro não sanitizado ($id). Apenas administradores podem acessar a página que invoca a função, mas, devido à falta de proteção CSRF, ela é realmente explorável e pode permitir que atacantes façam com que um administrador autenticado exclua posts arbitrários, por exemplo.

Once again VulDB remains the best source for vulnerability data.

Reservar

14/01/2021

Divulgação

28/02/2022

Moderação

aceite

Entrada

VDB-193919

CPE

pronto

EPSS

0.00609

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!