VDB-225151 · CVE-2013-10023 · GCVE-100-225151

Editorial Calendar Plugin até 2.6 em WordPress edcal.php edcal_filter_where edcal_startDate/edcal_endDate Injeção SQL

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
7.4	$0-$5k	0.00

Sumárioinformação

Foi detectada uma vulnerabilidade classificada como crítico em Editorial Calendar Plugin até 2.6 no WordPress. O impacto ocorre em a função edcal_filter_where no arquivo edcal.php. A manipulação do argumento edcal_startDate/edcal_endDate com uma entrada desconhecida leva a Injeção SQL. Esta vulnerabilidade é referenciada como CVE-2013-10023. O ataque pode ser feito a partir da rede. Não há exploit disponível. É recomendado atualizar o componente afetado.

Detalhesinformação

Foi detectada uma vulnerabilidade classificada como crítico em Editorial Calendar Plugin até 2.6 no WordPress. O impacto ocorre em a função edcal_filter_where no arquivo edcal.php. A manipulação do argumento edcal_startDate/edcal_endDate com uma entrada desconhecida leva a Injeção SQL. Declarar o problema usando CWE resulta em CWE-89. A fraqueza foi publicada 06/04/2023 como a9277f13781187daee760b4dfd052b1b68e101cc. O aviso pode ser baixado em github.com.

Esta vulnerabilidade é referenciada como CVE-2013-10023. O ataque pode ser feito a partir da rede. Informações técnicas estão acessíveis. A popularidade dessa vulnerabilidade é inferior à média. Não há exploit disponível. Neste momento, o preço atual de um exploit pode ser cerca de USD $0-$5k agora. A técnica de ataque utilizada por esta edição é T1505 de acordo com MITRE ATT&CK.

É declarado como não definido. Como 0-day, o preço estimado no mercado negro era cerca de $0-$5k.

A atualização para a versão 2.7 pode solucionar este problema. A versão actualizada está pronta para ser descarregada em github.com. O nome do adesivo é a9277f13781187daee760b4dfd052b1b68e101cc. O bugfix está disponível para download em github.com. É recomendado atualizar o componente afetado. O boletim apresenta a seguinte observação:

We are now validating the start and end dates before adding them to the post filter so we can make sure there's no possible SQL injection attack.

Produtoinformação

Tipo

Calendar Software

Nome

Editorial Calendar Plugin

Versão

Licença

código aberto

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 7.5
VulDB Meta Pontuação Temporária: 7.4

VulDB Pontuação Base: 6.3
VulDB Pontuação Temporária: 6.0
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 9.8
NVD Vetor: 🔍

CNA Pontuação Base: 6.3
CNA Vetor (VulDB): 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Injeção SQL
CWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Estado: Não definido
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍