В популярном плагине Ultimate Product Catalogue версии 4.2.2 для WordPress обнаружена уязвимость, позволяющая злоумышленнику внедрить вредоносный код в один из параметров POST-запроса. 

Ultimate Product Catalogue -адаптивный плагин каталога интернет-магазина, предназначен для отображения продуктов в формате каталога. Уязвимость плагина возможна из-за недостаточной фильтрации входящих данных параметра CatID.

Это приводит к тому, что любой пользователь, даже не прошедший проверку подлинности, может с помощью специально сформированного SQL-запроса выполнить произвольные действия в базе уязвимого приложения.

Пример эксплуатации:

<*input type="text" name="CatID" value="0 UNION SELECT user_login,user_pass FROM wp_users WHERE ID=1">

Использование Web Application Firewall позволяет блокировать подобные атаки.