漏洞标题
Bit Form的联系表单:多步骤表单、计算联系表单、支付联系表单及自定义联系表单构建器2.0-2.13.9 - 已验证(管理员+)通过getLogHistory函数实现SQL注入
漏洞描述信息
Bit Form的联系表单:多步骤表单、计算联系表单、付款联系表单及自定义联系表单构建插件(适用于WordPress)在2.0至2.13.9版本中,通过由用户提供的参数entryID的不足转义和现有SQL查询的不足准备,存在通用SQL注入漏洞。这意味着具有管理员级别或更高权限的已认证攻击者能够将额外的SQL查询附加到现有查询中,从而可以利用这些查询从数据库中提取敏感信息。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
漏洞标题
Contact Form by Bit Form: Multi Step Form, Calculation Contact Form, Payment Contact Form & Custom Contact Form builder 2.0 - 2.13.9 - Authenticated (Administrator+) SQL Injection via getLogHistory Function
漏洞描述信息
The Contact Form by Bit Form: Multi Step Form, Calculation Contact Form, Payment Contact Form & Custom Contact Form builder plugin for WordPress is vulnerable to generic SQL Injection via the entryID parameter in versions 2.0 to 2.13.9 due to insufficient escaping on the user-supplied parameter and lack of sufficient preparation on the existing SQL query. This makes it possible for authenticated attackers, with Administrator-level access and above, to append additional SQL queries to already existing queries that can be used to extract sensitive information from the database.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
漏洞标题
WordPress plugin Contact Form by Bit Form 安全漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin Contact Form by Bit Form 2.0版本至2.13.9版本存在安全漏洞,该漏洞源于对用户提供的参数转义不足。攻击者利用该漏洞可以从数据库中提取敏感信息。
CVSS信息
N/A
漏洞类别
其他