Futurio Extra < 1.6.3 - Authenticated SQL Injection

The Futurio Extra WordPress plugin before 1.6.3 is affected by a SQL Injection vulnerability that could be used by high privilege users to extract data from the database as well as used to perform Cross-Site Scripting (XSS) against logged in admins by making send open a malicious link.

N/A

SQL命令中使用的特殊元素转义处理不恰当(SQL注入)

WordPress和WordPress plugin SQL注入漏洞

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress开源的一个应用插件。 WordPress插件Futurio Extra 1.6.3之前版本存在SQL注入漏洞，该漏洞源于插件对于用户提交的SQL数据缺少过滤和转义。该漏洞可以被高权限用户用来从数据库中提取数据，以及通过发送打开一个恶意链接来对登录的管理员执行跨站点脚本攻击。

N/A

N/A