ContentViews 2.1.2

Parece que el plugin ContentViews hasta su versión 2.1.2 contiene una posible vulnerabilidad que da acceso a la inyección de SQL.

El ataque es bastante sencillo ya que permite mediante el parámetro del identificador del contenido por URL ejecutar cualquier tipo de consulta SQL si se organiza correctamente.

De esta forma, con una consulta similar a la siguiente, se podría llegar a ejecutar cualquier consulta:

/wp-content/plugins/pt-content-views-pro/admin/content-views-admin.php?id=[SQL Injection]

Deja un comentario