CVE-2021-24337 – Video Embed <= 1.0 - Authenticated (subscriber+) SQL Injection

https://notcve.org/view.php?id=CVE-2021-24337

The id GET parameter of one of the Video Embed WordPress plugin through 1.0's page (available via forced browsing) is not sanitised, validated or escaped before being used in a SQL statement, allowing low privilege users, such as subscribers, to perform SQL injection. El parámetro GET id de uno de los plugins de WordPress Video Embed versiones hasta 1.0, la página (disponible por medio de la navegación forzada) no saneaba, comprobaba o escapaba antes de ser usada en una sentencia SQL, permitiendo a usuarios pocos privilegiados, como los suscriptores, llevar a cabo una inyección SQL • https://codevigilant.com/disclosure/2021/wp-plugin-video-embed-box https://wpscan.com/vulnerability/a8fd8dd4-5b5e-462e-8dae-065d5e2d003a • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •