ГлавнаяБаза уязвимостей БДУ → BDU:2024-07872
10критическая

BDU:2024-07872 (CVE-2024-8275)

Уязвимость функции tribe_has_next_event плагина The Events Calendar системы управления содержимым сайта WordPress, позволяющая нарушителю выполнять произвольные SQL-запросы
Опубликовано: 2024-10-09
Описание

Уязвимость функции tribe_has_next_event плагина The Events Calendar системы управления содержимым сайта WordPress связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные SQL-запросы

Затрагиваемое ПО и версии
The Events Calendar (до 6.6.4.1)
Способ устранения

Использование рекомендаций производителя:
https://theeventscalendar.com/knowledgebase/customizing-template-files-2-legacy/
https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3152853%40the-events-calendar&new=3152853%40the-events-calendar&sfp_email=&sfph_mail=#file18
https://docs.theeventscalendar.com/reference/functions/tribe_has_next_event/
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/the-events-calendar/the-events-calendar-664-unauthenticated-sql-injection

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2024-8275https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-8275https://feedly.com/cve/CVE-2024-8275https://theeventscalendar.com/knowledgebase/customizing-template-files-2-legacy/https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3152853%40the-events-calendar&new=3152853%40the-events-calendar&sfp_email=&sfph_mail=#file18https://docs.theeventscalendar.com/reference/functions/tribe_has_next_event/https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/the-events-calendar/the-events-calendar-664-unauthenticated-sql-injection
Проверьте безопасность своего сайта и почты → Полная проверка домена