Simple Personal Message 1.0.3 – Plugin WordPress – Sql Injection

Homepage: https://wordpress.org/plugins/simple-personal-message/ Description: Type user access: any user. $_GET[‘message’] is not escaped. sirv_get_row_by_id() is accessible for every registered user. File / Code: Path: /wp-content/plugins/simple-personal-message/admin/partials/simple-personal-message-admin-view.php Line: 25 <?php global $wpdb; $table = $wpdb->prefix . ‘spm_message’; $id = esc_attr($_GET[‘message’]); $message = $wpdb->get_results(“SELECT * FROM $table WHERE id = $id”); $user = get_user_by(‘login’, $message[0]->sender); …

Flickr vulnerável à SQL Injection e falhas de execução remota de código

Yahoo detentora do Flickr , um dos maiores site de gerenciamento de fotos on-line e compartilhamento no mundo foi recentemente impactado por vulnerabilidades em aplicações críticas, o que deixou de banco de dados e servidor de hackers vulneráveis. Ibrahim Raafat , um pesquisador de segurança do Egito encontrou vulnerabilidades de injeção SQL no  Flickr …