漏洞标题
日记与日程表 <= 1.0.3 - 认证后(订阅者+)SQL注入
漏洞描述信息
日记与可用性日历 <= 1.0.3 - 认证(订阅者+)SQL注入
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
Diary & Availability Calendar <= 1.0.3 - Authenticated (subscriber+) SQL Injection
漏洞描述信息
The daac_delete_booking_callback function, hooked to the daac_delete_booking AJAX action, takes the id POST parameter which is passed into the SQL statement without proper sanitisation, validation or escaping, leading to a SQL Injection issue. Furthermore, the ajax action is lacking any CSRF and capability check, making it available to any authenticated user.
CVSS信息
N/A
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
漏洞标题
Wordpress Plugin SQL注入漏洞
漏洞描述信息
WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress开源的一个应用插件。 Wordpress Plugin Diary & Availability Calendar 存在SQL注入漏洞,该漏洞源于daac_delete_booking_callback 函数与 daac_delete_booking AJAX 操作挂钩,使用 id POST 参数,该参数在没有适当的清
CVSS信息
N/A
漏洞类别
SQL注入