WordPress est un CMS mondialement connu, sûrement le meilleur d’ailleurs.
Grâce à son système de plugins on peut très facilement avoir un site complet et intuitif. Malheureusement c’est aussi via les plugins que nous avons des failles CVE qui compromettent la cybersécurité de votre site.
Dans notre cas c est le plugin Photo Gallery de 10Web dans sa version 1.6.3.
Le plugin permet de faire des injections SQL sur le paramètre $_POST[‘filter_tag’] qui n’est pas correctement filtré.
Hors ce plugin est facilement trouvable sur le net avec GHDB.
inurl:"\wp-content\plugins\photo-gallery"
