Katalog CVE

CVE-2026-10835

WysokieCVSS 7.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 6 — wyżej niż 6% wszystkich znanych CVE

Streszczenie

Wtyczka SALESmanago & Leadoo dla WordPress przed wersją 3.11.3 nieprawidłowo oczyszcza i nie koduje parametru przekazywanego do jednej z akcji AJAX przed użyciem go w zapytaniu SQL, a także nie egzekwuje autoryzacji dla tej akcji, co pozwala uwierzytelnionym użytkownikom z minimalnymi uprawnieniami, takimi jak subskrybenci, na przeprowadzanie ataków SQL Injection.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanego dostępu do bazy danych WordPress, co może prowadzić do wycieku danych, modyfikacji treści lub przejęcia kontroli nad witryną przez atakującego.

Rekomendacja

Zaleca się natychmiastową aktualizację wtyczki SALESmanago & Leadoo do wersji 3.11.3 lub nowszej, która usuwa tę podatność.

Oryginalny opis (angielski, źródło NVD)

The SALESmanago & Leadoo WordPress plugin before 3.11.3 does not properly sanitise and escape a parameter passed to one of its AJAX actions before using it in a SQL statement, and fails to enforce authorisation on that action, allowing authenticated users with minimal permissions, such as subscribers, to perform SQL injection attacks.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS