The AWP Classifieds plugin for WordPress is vulnerable to SQL Injection via the 'regions' parameter array keys in versions up to, and including, 4.4.5 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.
The AWP Classifieds WordPress plugin versions up to 4.4.5 contains a SQL injection vulnerability in the 'regions' parameter that allows unauthenticated attackers to extract sensitive database information. The vulnerability stems from insufficient input escaping and improper SQL query preparation, enabling attackers to append malicious SQL commands.
ثغرة حقن SQL في إضافة AWP Classifieds للووردبريس تؤثر على الإصدارات حتى 4.4.5 حيث يمكن للمهاجمين غير المصرح لهم استخدام معامل 'regions' لإدراج استعلامات SQL إضافية. تنتج الثغرة عن عدم كفاية تصفية المدخلات وعدم تحضير الاستعلامات بشكل صحيح، مما يسمح باستخراج البيانات الحساسة من قاعدة البيانات.
The AWP Classifieds WordPress plugin versions up to 4.4.5 contains a SQL injection vulnerability in the 'regions' parameter that allows unauthenticated attackers to extract sensitive database information. The vulnerability stems from insufficient input escaping and improper SQL query preparation, enabling attackers to append malicious SQL commands.
Update the AWP Classifieds plugin to version 4.4.6 or later immediately. If immediate patching is not possible, disable the plugin and remove it from all WordPress installations. Implement Web Application Firewall (WAF) rules to filter malicious SQL patterns in the regions parameter. Review database access logs for suspicious queries and audit user accounts for unauthorized access.
قم بتحديث إضافة AWP Classifieds إلى الإصدار 4.4.6 أو أحدث فوراً. إذا لم يكن التحديث ممكناً، قم بتعطيل الإضافة وإزالتها من جميع تثبيتات WordPress. طبق قواعد جدار حماية تطبيقات الويب لتصفية أنماط SQL الضارة. راجع سجلات الوصول إلى قاعدة البيانات للاستعلامات المريبة وتدقيق حسابات المستخدمين.