WordPress Support Ticket System 1.2 SQL Injection

Le plugin pour WordPress Support Ticket System version 1.2 est vulnérable à une Injection SQL à distance.

L’exploitation de la faille permet l’accès à la base de données ainsi que la modification et l’ajout de contenu dans cette dernière.
Le fichier vulnérable (includes/update.php) présente deux points d’injection au niveau des paramètres $user et $id.

Sont affectés tous les systèmes utilisant une version WordPress jusqu’à la 4.3.1 avec le plugin Support Ticket System jusqu’à la version 1.2.26

Il est recommandé de mettre à jour le plugin au plus vite.

Liens

https://packetstormsecurity.com/files/133885/wpsts-sql.txt
https://wordpress.org/plugins/simple-support-ticket-system/changelog/

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Time limit is exhausted. Please reload CAPTCHA.