PT-2022-13407 · WordPress · Ai Infographic Maker
Cydave
·
Publicado
2022-03-21
·
Atualizado
2022-03-28
·
CVE-2022-0747
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do plugin Infographic Maker para WordPress anteriores à 4.3.8
Descrição
O problema diz respeito a uma injeção SQL não autenticada. Ele ocorre porque o parâmetro
post id não é validado e escapado adequadamente antes de ser usado em uma instrução SQL por meio da ação AJAX qcld upvote action. Essa ação está acessível tanto para usuários não autenticados quanto para usuários autenticados.Recomendações
Para versões anteriores à 4.3.8, atualize para a versão 4.3.8 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à ação AJAX
qcld upvote action para minimizar o risco de exploração. Evite usar o parâmetro post id no endpoint AJAX afetado até que o problema seja resolvido.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ai Infographic Maker