WordPress · Aweber – Free Sign Up Form/Landing Page Builder Plugin For Lead Generation/Email Newsletter Growth · CVE-2024-1793
**Nome do software vulnerável e versões afetadas**
AWeber – Plugin gratuito de formulário de inscrição e criador de páginas de destino para geração de leads e aumento de assinantes de boletins informativos por e-mail para versões do WordPress até a 7.3.14, inclusive
**Descrição**
A vulnerabilidade permite que invasores autenticados com acesso de nível de administrador ou superior realizem injeção de SQL por meio do parâmetro `post id`, devido à escapada insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que invasores acrescentem consultas SQL adicionais às consultas já existentes, potencialmente extraindo informações confidenciais do banco de dados.
**Recomendações**
Para versões até e incluindo a 7.3.14, atualize para uma versão superior à 7.3.14 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao parâmetro `post id` no plugin afetado para minimizar o risco de exploração.