CVE-2024-27956

Versões do ValvePress Automatic anteriores à 3.92.1

O problema está relacionado a uma vulnerabilidade de injeção de SQL que permite que invasores executem comandos SQL arbitrários. Isso pode levar à tomada de controle do site e a atividades maliciosas. A vulnerabilidade está sendo ativamente explorada, com mais de 5,5 milhões de tentativas de ataque relatadas. A variável q é passada diretamente para uma chamada $wpdb->get results(), permitindo que invasores executem comandos SQL diretamente. Por exemplo, um invasor pode adicionar um novo usuário do WordPress executando uma consulta INSERT INTO ou conceder direitos de administrador a um usuário modificando a tabela wp usermeta.

Para resolver o problema, atualize o ValvePress Automatic para a versão 3.92.1 ou posterior. Como solução temporária, considere desativar o arquivo inc/csv.php vulnerável ou restringir o acesso a ele até que um patch esteja disponível. Além disso, restrinja o acesso ao plugin wp-automatic para minimizar o risco de exploração. Evite usar a variável q no endpoint da API afetado até que o problema seja resolvido.