CVE-2026-9711
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 35 — wyżej niż 35% wszystkich znanych CVE
Streszczenie
Wtyczka EventON dla WordPressa do wersji 5.0.11 zawiera podatność na wstrzykiwanie SQL przez parametr 'search'. Brak odpowiedniego escapowania i przygotowania zapytań SQL umożliwia nieuwierzytelnionym atakującym dołączanie dodatkowych zapytań, co pozwala na wyodrębnienie poufnych danych z bazy, jeśli włączona jest opcja 'Enable additional search queries' i istnieje co najmniej jedno opublikowane wydarzenie.
Ocena ryzyka
Ryzyko polega na możliwości kradzieży wrażliwych danych z bazy WordPressa, takich jak hasła użytkowników czy dane konfiguracyjne, przez nieuwierzytelnionego atakującego, co może prowadzić do przejęcia kontroli nad stroną.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę EventON do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest możliwa, tymczasowo wyłącz opcję 'Enable additional search queries' i usuń niepotrzebne opublikowane wydarzenia.
Oryginalny opis (angielski, źródło NVD)
The EventON - WordPress Virtual Event Calendar Plugin plugin for WordPress (full) is vulnerable to SQL Injection via the WordPress 'search' parameter in versions up to, and including, 5.0.11 due to insufficient escaping on the user supplied parameter and lack of preparation on the existing SQL query. This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database, granted the "Enable additional search queries" setting is enabled and at least one published event exists.

