CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0CVE-2023-6565 – InfiniteWP Client <= 1.12.3 - Unauthenticated Sensitive Information Exposure
https://notcve.org/view.php?id=CVE-2023-6565
The InfiniteWP Client plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 1.12.3 via the multi-call backup option. This makes it possible for unauthenticated attackers to extract sensitive data from a temporary SQL file via repeated GET requests during the limited time window of the backup process. El complemento InfiniteWP Client para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta la 1.12.3 incluida a través de la opción de copia de seguridad de múltiples llamadas. Esto hace posible que atacantes no autenticados extraigan datos confidenciales de un archivo SQL temporal mediante solicitudes GET repetidas durante el período de tiempo limitado del proceso de copia de seguridad. • https://plugins.trac.wordpress.org/changeset/3007309/iwp-client https://www.wordfence.com/threat-intel/vulnerabilities/id/2fdc32a4-adf8-4174-924b-5d0b763d010c?source=cve • CWE-922: Insecure Storage of Sensitive Information •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-28642
https://notcve.org/view.php?id=CVE-2020-28642
In InfiniteWP Admin Panel before 3.1.12.3, resetPasswordSendMail generates a weak password-reset code, which makes it easier for remote attackers to conduct admin Account Takeover attacks. En InfiniteWP Admin Panel versiones anteriores a 3.1.12.3, la función resetPasswordSendMail genera un código de restablecimiento de contraseña débil, lo que facilita a atacantes remotos conducir ataques de Toma de Control de Cuenta de administrador • https://www.whitehack.de/advisories/HWADV2020-001.txt • CWE-338: Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG) •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2014-9521
https://notcve.org/view.php?id=CVE-2014-9521
Unrestricted file upload vulnerability in uploadScript.php in InfiniteWP Admin Panel before 2.4.4, when the allWPFiles query parameter is set, allows remote attackers to execute arbitrary code by uploading a file with a double extension, then accessing it via a direct request to the file in the uploads directory, as demonstrated by the .php.swp filename. Vulnerabilidad de la subida de ficheros sin restricciones en uploadScript.php en InfiniteWP Admin Panel anterior a 2.4.4, cuando el parámetro allWPFiles query está configurado, permite a atacantes remotos ejecutar código arbitrario mediante la subida de un fichero con una extensión doble, posteriormente accediéndolo a través de una solicitud directa al fichero en el directorio de subidas, tal y como fue demostrado por el nombre de fichero .php.swp. • http://seclists.org/fulldisclosure/2014/Dec/43 https://lifeforms.nl/20141210/infinitewp-vulnerabilities • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2014-9519
https://notcve.org/view.php?id=CVE-2014-9519
SQL injection vulnerability in login.php in InfiniteWP Admin Panel before 2.4.3 allows remote attackers to execute arbitrary SQL commands via the email parameter. Vulnerabilidad de inyección SQL en login.php en InfiniteWP Admin Panel anterior a 2.4.3 permite a atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro email. • http://seclists.org/fulldisclosure/2014/Dec/43 https://lifeforms.nl/20141210/infinitewp-vulnerabilities • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2014-9520
https://notcve.org/view.php?id=CVE-2014-9520
SQL injection vulnerability in execute.php in InfiniteWP Admin Panel before 2.4.4 allows remote attackers to execute arbitrary SQL commands via the historyID parameter. Vulnerabilidad de inyección SQL en execute.php en InfiniteWP Admin Panelanterior a 2.4.4 permite a atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro historyID. • http://seclists.org/fulldisclosure/2014/Dec/43 https://lifeforms.nl/20141210/infinitewp-vulnerabilities • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •