CVE-2021-24915

**Nome do software vulnerável e versões afetadas:

Versões do plugin Contest Gallery para WordPress anteriores à 13.1.0.6

Descrição:

A vulnerabilidade permite que invasores não autenticados realizem ataques de injeção de SQL e obtenham uma lista de todos os usuários registrados no blog, incluindo seus nomes de usuário e endereços de e-mail. Isso ocorre devido à falta de verificações de capacidade e à falha em sanitizar ou escapar o parâmetro cg-search-user-name-original antes de usá-lo em uma instrução SQL ao exportar usuários de uma galeria.

Recomendações:

Para versões anteriores à 13.1.0.6, atualize para a versão 13.1.0.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de exportação de usuários no plugin Contest Gallery para minimizar o risco de exploração. Evite usar o parâmetro cg-search-user-name-original no endpoint da API afetado até que o problema seja resolvido.