PT-2021-15929 · WordPress · Gseor – Wordpress Seo Plugin
Syed Sheeraz Ali
·
Publicado
2021-09-20
·
Atualizado
2021-09-28
·
CVE-2021-24396
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
GSEOR – Plugin de SEO para WordPress até a versão 1.3
Descrição
O problema decorre do fato de o parâmetro GET
pageid não ser sanitizado, escapado ou validado antes de ser inserido em uma instrução SQL, levando a uma injeção de SQL. Isso permite a possível manipulação de consultas ao banco de dados.Recomendações
Para o GSEOR – WordPress SEO Plugin, versões até a 1.3, considere desativar o parâmetro GET
pageid até que uma correção esteja disponível para evitar ataques de injeção de SQL. Restrinja o acesso a consultas SQL para minimizar o risco de exploração. Evite usar o parâmetro pageid nos endpoints de API afetados até que o problema seja resolvido.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gseor – Wordpress Seo Plugin