The Eight Day Week Print Workflow plugin for WordPress is vulnerable to time-based blind SQL Injection via the 'title' parameter in the `pp-get-articles` AJAX action in all versions up to, and including, 1.2.6. This is due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. This makes it possible for authenticated attackers, with Subscriber-level access and above, to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.
The Eight Day Week Print Workflow WordPress plugin versions up to 1.2.6 contains a time-based blind SQL injection vulnerability in the 'title' parameter of the pp-get-articles AJAX action. Authenticated attackers with Subscriber-level access can exploit this to extract sensitive database information.
يحتوي مكون Eight Day Week Print Workflow للـ WordPress على ثغرة حقن SQL عمياء قائمة على الوقت في معامل العنوان ضمن إجراء AJAX pp-get-articles. يمكن للمهاجمين المصرح لهم على مستوى المشترك أو أعلى استخدام هذه الثغرة لاستخراج معلومات حساسة من قاعدة البيانات.
The Eight Day Week Print Workflow WordPress plugin versions up to 1.2.6 contains a time-based blind SQL injection vulnerability in the 'title' parameter of the pp-get-articles AJAX action. Authenticated attackers with Subscriber-level access can exploit this to extract sensitive database information.
Update the Eight Day Week Print Workflow plugin to version 1.2.7 or later immediately. Implement input validation and parameterized queries for all user-supplied parameters. Apply principle of least privilege to limit Subscriber-level access. Monitor AJAX requests for suspicious SQL patterns.
قم بتحديث مكون Eight Day Week Print Workflow إلى الإصدار 1.2.7 أو أحدث فوراً. طبق التحقق من صحة المدخلات والاستعلامات المعاملة لجميع المعاملات المزودة من قبل المستخدم. طبق مبدأ أقل صلاحية لتقييد الوصول على مستوى المشترك. راقب طلبات AJAX للأنماط المريبة للـ SQL.