BDU:2023-08001

Опубликовано: 12 янв. 2023

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Высокий

Описание

Уязвимость функции edd_ajax_download_search() (./includes/ajax-functions.php) плагина Easy Digital Downloads системы управления содержимым сайта WordPress связана с непринятием мер по защите структуры запроса SQL при обработке параметра "s". Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные SQL-запросы

Вендор

WordPress Foundation

Наименование ПО

Easy Digital Downloads

Версия ПО

3.1.0.2 (Easy Digital Downloads)

3.1.0.3 (Easy Digital Downloads)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Обновление плагина до версии 3.1.0.4 и выше

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-23489
CVE

EPSS

Процентиль: 99%

0.83311

Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2023-23489

CVSS3: 9.8

nvd

около 3 лет назад

The Easy Digital Downloads WordPress Plugin, versions 3.1.0.2 & 3.1.0.3, is affected by an unauthenticated SQL injection vulnerability in the 's' parameter of its 'edd_download_search' action.

GHSA-7745-326p-vhm6

CVSS3: 9.8

github

около 3 лет назад

The Easy Digital Downloads WordPress Plugin, version < 3.1.0.4, is affected by an unauthenticated SQL injection vulnerability in the 's' parameter of its 'edd_download_search' action.

EPSS

Процентиль: 99%

0.83311

Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2