Плагин Email Subscribers by Icegram Express для WordPress уязвим для SQL-инъекций через параметр «hash» во всех версиях до 5.7.20 включительно из-за недостаточной экранировки предоставленного пользователем параметра и недостаточной подготовки существующего SQL-запроса. Это позволяет не прошедшим проверку подлинности злоумышленникам добавлять дополнительные SQL-запросы к уже существующим запросам, которые можно использовать для извлечения конфиденциальной информации из базы данных.