CVE-2023-23488
CVE-2023-23488
En resumen
Un plugin de WordPress tiene una falla crítica que permite a cualquiera inyectar comandos SQL maliciosos a través de una solicitud web, exponiendo información sensible de la base de datos sin necesidad de iniciar sesión.
Detalle técnico
Vulnerabilidad de inyección SQL no autenticada en el endpoint REST del plugin Paid Memberships Pro (/pmpro/v1/order) mediante el parámetro 'code' permite que atacantes remotos ejecuten consultas SQL arbitrarias, provocando potencialmente acceso no autorizado, modificación o exfiltración de datos sensibles incluyendo información de membresía y pagos.
Resumen generado y traducido por IA a partir de la descripción oficial.
The Paid Memberships Pro WordPress Plugin, version < 2.9.8, is affected by an unauthenticated SQL injection vulnerability in the 'code' parameter of the '/pmpro/v1/order' REST route.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · Paid Memberships Pro WordPress PluginPoCs públicas encontradas — 4
githubgithub.com/cybfar/CVE-2023-23488-pmpro-2.8★ 1githubgithub.com/long-rookie/CVE-2023-23488-PoC★ 0cve_referencepacketstormsecurity.com/files/171661/WordPress-Paid-Memberships-Pro-2.9.8-SQL-Injection.htmlno verificadoexploitdbwww.exploit-db.com/exploits/51235no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →