PT-2022-13485 · WordPress · Pricing Table
Cydave
·
Publicado
2022-05-16
·
Atualizado
2022-05-24
·
CVE-2022-0867
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do plugin Pricing Table para WordPress anteriores à 3.6.1
Descrição
O problema decorre da falha em sanitizar e escapar adequadamente os dados POST fornecidos pelo usuário antes de serem interpolados em uma instrução SQL e, em seguida, executados por meio de uma ação AJAX. Essa ação AJAX está disponível para usuários não autenticados.
Recomendações
Para versões anteriores à 3.6.1, atualize para a versão 3.6.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à ação AJAX apenas a usuários autenticados até que um patch seja aplicado.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pricing Table