Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la acción ays_finish_poll AJAX en el plugin Poll Maker de WordPress (CVE-2021-24651)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/10/2021
Última modificación:
09/11/2022

Descripción

El plugin Poll Maker de WordPress versiones anteriores a 3.4.2, permite a usuarios no autenticados llevar a cabo una inyección SQL por medio de la acción ays_finish_poll AJAX. Mientras que el resultado no se revela en la respuesta, es posible usar un ataque de tiempo para exfiltrar datos como el hash de la contraseña

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:ays-pro:poll_maker:*:*:*:*:*:wordpress:*:* 3.4.2 (excluyendo)


Referencias a soluciones, herramientas e información