Vulnerabilidad en la acción ays_finish_poll AJAX en el plugin Poll Maker de WordPress (CVE-2021-24651)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/10/2021
Última modificación:
09/11/2022
Descripción
El plugin Poll Maker de WordPress versiones anteriores a 3.4.2, permite a usuarios no autenticados llevar a cabo una inyección SQL por medio de la acción ays_finish_poll AJAX. Mientras que el resultado no se revela en la respuesta, es posible usar un ataque de tiempo para exfiltrar datos como el hash de la contraseña
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:ays-pro:poll_maker:*:*:*:*:*:wordpress:*:* | 3.4.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página