CVE-2021-24398

Plugin Responsive 3D Slider para WordPress, versões 1.2 e anteriores

A funcionalidade “Adicionar nova cena” no plugin Responsive 3D Slider para WordPress utiliza um parâmetro id que não é sanitizado, escapado ou validado antes de ser inserido em uma instrução SQL, o que leva a uma injeção de SQL. Trata-se de uma injeção de SQL baseada em tempo e, na mesma função, o parâmetro vulnerável é passado duas vezes; portanto, se for passado um tempo de 5 segundos, leva 10 segundos para retornar, uma vez que a consulta é executada duas vezes.

Para as versões 1.2 e anteriores do plugin Responsive 3D Slider para WordPress, considere desativar a funcionalidade “Adicionar nova cena” até que um patch esteja disponível para prevenir ataques de injeção de SQL. Restrinja o acesso ao parâmetro id na função afetada para minimizar o risco de exploração. Evite usar o parâmetro id na instrução SQL afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.