PT-2026-43057 · WordPress · Form Maker
Publicado
2026-05-23
·
Atualizado
2026-05-23
·
CVE-2018-25346
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
WordPress Form Maker Plugin versões anteriores a 1.12.25
Descrição
Atacantes autenticados podem manipular consultas ao banco de dados injetando código SQL por meio das ações 'FormMakerSQLMapping' e 'generete csv'. Isso é feito enviando solicitações POST para o endpoint '/admin-ajax.php' contendo cargas SQL maliciosas nos parâmetros
name e search labels. Tais ações podem permitir a extração de dados, modificação de registros ou escalonamento de privilégios no banco de dados do WordPress.Recomendações
Atualize para uma versão posterior à 1.12.24.
Como medida paliativa temporária, restrinja o acesso ao endpoint '/admin-ajax.php' ou limite o uso dos parâmetros
name e search labels nas ações 'FormMakerSQLMapping' e 'generete csv'.Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Form Maker