Smart Google Code Inserter
Уязвимости
2
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.91477
Распределение по критичности
Критический
2
Высокий
0
Средний
0
Низкий
0
Затронутые диапазоны версий
< 3.5
Также сопоставлено как (исходные строки): smart_google_code_inserter
Топ уязвимостей
CVE-2018-3811Уязвимость SQL-инъекции в плагине Oturia Smart Google Code Inserter до версии 3.5 для WordPress позволяет неаутентифицированным злоумышленникам выполнять SQL-запросы в контексте веб-сервера. Функция saveGoogleAdWords() в smartgooglecode.php не использовала подготовленные выражения и не очищала переменную $_POST["oId"] перед передачей ее в качестве входных данных в SQL-запрос.
CVE-2018-3810Уязвимость обхода аутентификации в плагине Oturia Smart Google Code Inserter до версии 3.5 для WordPress позволяет неаутентифицированным злоумышленникам вставлять произвольный код JavaScript или HTML (через параметр sgcgoogleanalytic), который выполняется на всех страницах, обслуживаемых WordPress. Функция saveGoogleCode() в smartgooglecode.php не проверяет, сделан ли текущий запрос авторизованным пользователем, что позволяет любому неаутентифицированному пользователю успешно обновлять вставленный код.