CVE-2021-24846

**Nome do software vulnerável e versões afetadas:

Versões do plugin Ni WooCommerce Custom Order Status para WordPress anteriores à 1.9.7

Descrição:

O problema diz respeito à função get query(), que não sanitiza adequadamente o parâmetro sort antes de usá-lo em uma instrução SQL. Isso leva a uma injeção de SQL, que pode ser explorada por qualquer usuário autenticado, como assinantes. A ação AJAX niwoocos ajax é usada pela função vulnerável e está disponível para todos os usuários autenticados.

Recomendações:

Para versões anteriores à 1.9.7, atualize para a versão 1.9.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à ação AJAX niwoocos ajax para minimizar o risco de exploração. Evite usar o parâmetro sort no endpoint AJAX afetado até que o problema seja resolvido.