漏洞标题
N/A
漏洞描述信息
在WordPress中, VastHTML Forum Server(也被称为 ForumPress)插件1.6.1和1.6.5之间存在多个SQL注入漏洞,允许远程攻击者通过(1)搜索 action中的search_max参数向index.php执行任意SQL命令,而该参数由wpf.class.php未正确处理;(2)编辑post action中的id参数向index.php执行任意SQL命令,而该参数由wpf-post.php未正确处理;或(3)主题参数向feed.php执行任意SQL命令。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple SQL injection vulnerabilities in VastHTML Forum Server (aka ForumPress) plugin 1.6.1 and 1.6.5 for WordPress allow remote attackers to execute arbitrary SQL commands via the (1) search_max parameter in a search action to index.php, which is not properly handled by wpf.class.php, (2) id parameter in an editpost action to index.php, which is not properly handled by wpf-post.php, or (3) topic parameter to feed.php.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
VastHTML Forum Server插件多个SQL注入漏洞
漏洞描述信息
基于WordPress的VastHTML Forum Server(又名ForumPress)插件1.6.1和1.6.5版本中存在多个SQL注入漏洞。远程攻击者可以借助对index.php的search操作中的search_max参数(未经过wpf.class.php的正确处理),或者对index.php的editpost操作中的id参数(未经过wpf-post.php的正确处理)执行任意SQL命令。
CVSS信息
N/A
漏洞类别
SQL注入