Diamond MultiSite Widgets 1.8.2

Volvemos a la carga con otro plugin obsoleto, Diamond MultiSite Widgets, que parece tener una vulnerabilidad de inyección de SQL.

La situación es que el parámetro del identificador de contenido no está filtrado de ninguna manera, lo que significa que cualquier tipo de texto o elemento puede ser pasado por parámetro.

Esto permitiría de base hacer consultas a la base de datos de forma incontrolada, e incluso si el servidor no está completamente bien configurado, el acceso a ficheros de sistema.

Deja un comentario