Neautentizovanému útočníkovi je kvůli nedostatečné kontrole parametru z REST rozhraní před použitím v SQL dotazu umožněno provádět SQL injection útoky [1].

Zranitelnost se nachází v produktu WordPress HTML5 Video Player plugin ve verzích <2.5.27.

Více informací:

• CVE-2024-5522 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 20. 6. 2024.