ГлавнаяБаза уязвимостей БДУ → BDU:2024-04464
10критическая

BDU:2024-04464 (CVE-2024-1698)

Уязвимость плагина NotificationX системы управления содержимым сайта WordPress, позволяющая нарушителю выполнить произвольные SQL-запросы
Опубликовано: 2024-06-10
Описание

Уязвимость плагина NotificationX системы управления содержимым сайта WordPress связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные SQL-запросы

Затрагиваемое ПО и версии
NotificationX (до 2.8.3)
Способ устранения

Использование рекомендаций:
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/notificationx/notificationx-best-fomo-social-proof-woocommerce-sales-popup-notification-bar-plugin-with-elementor-282-unauthenticated-sql-injection

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/notificationx/notificationx-best-fomo-social-proof-woocommerce-sales-popup-notification-bar-plugin-with-elementor-282-unauthenticated-sql-injectionhttps://plugins.trac.wordpress.org/changeset/3040809/notificationx/trunk/includes/Core/Rest/Analytics.phphttps://plugins.trac.wordpress.org/changeset/3040809/notificationx/trunk/includes/Core/Database.phphttps://vuldb.com/?id.254797https://www.vicarius.io/vsociety/posts/decoding-the-unseen-threat-exploiting-cve-2024-1698-unauthenticated-sql-injection-in-notificationx-wordpress-plugin-from-basics-to-breach-a-comprehensive-guide-to-source-code-analysis-and-crafting-the-ultimate-exploit
Проверьте безопасность своего сайта и почты → Полная проверка домена