CVE-2024-27956

WordPress Automatic plugin <= 3.92.0 - Unauthenticated Arbitrary SQL Execution vulnerability

CVSS 9.9 CRITICALEPSS 94.0%CWE-89

En resumen

El plugin Automatic de WordPress permite que atacantes ejecuten comandos SQL arbitrarios sin necesidad de autenticarse, pudiendo exponer o modificar información sensible de la base de datos. Esto ocurre porque el plugin no valida adecuadamente los datos ingresados antes de usarlos en consultas.

Detalle técnico

Vulnerabilidad de Inyección SQL (CWE-89) en el plugin Automatic versiones hasta 3.92.0 permite a atacantes no autenticados inyectar comandos SQL maliciosos a través de parámetros de entrada insuficientemente sanitizados. La explotación exitosa posibilita acceso no autorizado a la base de datos, extracción o modificación de datos.

Resumen generado y traducido por IA a partir de la descripción oficial.

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in ValvePress Automatic allows SQL Injection.This issue affects Automatic: from n/a through 3.92.0.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:L

Productos afectados

ValvePress · Automatic

PoCs públicas encontradas — 16

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://patchstack.com/articles/critical-vulnerabilities-patched-in-wordpress-automatic-plugin?_s_id=cve https://patchstack.com/database/vulnerability/wp-automatic/wordpress-automatic-plugin-3-92-0-unauthenticated-arbitrary-sql-execution-vulnerability?_s_id=cve