La función edit_event_category no desinfecta la entrada suministrada por el usuario a través del parámetro $id antes de pasarlo a una sentencia SQL. Esto permite un ataque SQL por un usuario autenticado que puede editar las categorías de eventos.
ATENCIÓN: Este plugin ha sido eliminado del Repositorio Oficial de WordPress. La inyección de SQL está en ./wordpress-gallery-transformation/gallery.php a través del parámetro $jpic sin ser analizado antes de pasar a una consulta SQL.
ATENCIÓN: Este plugin ha sido eliminado del Repositorio Oficial de WordPress. Este plugin permite a los visitantes recomendar tus publicaciones en lugar de comentarlas. Es posible inyectar SQL en el código corto [dot_recommends], si está activada la búsqueda de direcciones IP (valor por defecto). Una cuenta con bajos privilegios como el suscriptor es suficiente para poder explotar este problema. Muy …
Tipo de acceso de usuario: es accesible sólo usuario administrador. $ _GET [‘linkid’] Potencial ataque por medio de inyección de comandos SQL
AddToAny es la plataforma de uso compartido universal, y el complemento de AddToAny es el complemento más popular para WordPress, haciendo que los sitios de redes sociales estén listos desde 2006. Si un atacante pudiera modificar la caché del sitio web, podría hacer que los usuarios que compartan su sitio web se les incluya un código malicioso en su sitio …
ATENCIÓN: Este plugin ESTÁ OBSOLETO aunque está en el Repositorio Oficial de WordPress. La variable $delid no es desinfectada antes de pasar a una consulta SQL en el archivo ./rk-responsive-contact-form/include/rk_user_list.php