Kritische Sicherheitslücke in Event-Registration-Plugin für WordPress

Eingaben in den Parameter event_id, wenn regevent_action auf register gesetzt ist, überprüft die Software nicht ausreichend, bevor der SQL-Befehl ausgeführt wird. Somit könnten Angreifer beliebigen SQL-Code ausführen.

Die Sicherheitslücke ist für Event Registration 5.x bestätigt. Update steht derzeit keines zur Verfügung. Einzige Lösung ist derzeit den Quellcode selbst zu editieren, damit SQL-Befehle ausreichend überprüft werden. (jdo)