CVE-2021-43408

Plugin Duplicate Post para WordPress, versão 1.1.9 e anteriores

O problema ocorre devido a vulnerabilidades de injeção de SQL, que surgem quando dados fornecidos pelo cliente são incluídos de forma insegura em uma consulta SQL. Isso pode ser explorado para ler, modificar e excluir dados de tabelas SQL. Em muitos casos, também é possível explorar recursos do servidor SQL para executar comandos do sistema e/ou acessar o sistema de arquivos local. A vulnerabilidade pode ser explorada por qualquer usuário autenticado que tenha acesso concedido para usar o plugin Duplicate Post, o qual, por padrão, é restrito a Administradores, mas também pode ser permitido para as funções de Editor, Autor, Colaborador e Assinante.

Para o plugin Duplicate Post do WordPress versão 1.1.9 e anteriores, considere desativar o plugin até que um patch esteja disponível para evitar a exploração. Restrinja o acesso ao plugin para minimizar o risco de exploração, especialmente para funções que tenham permissão para usá-lo. Como solução temporária, limite o acesso ao plugin apenas aos usuários necessários. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.