PT-2022-13898 · WordPress · Rsvpmaker
Publicado
2022-05-10
·
Atualizado
2026-03-09
·
CVE-2022-1453
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin RSVPMaker para o WordPress, versões até e incluindo a 9.2.5
Descrição
O problema está relacionado a uma injeção de SQL sem autenticação, devido à falta de escapamento e parametrização de SQL nos dados fornecidos pelo usuário e passados para uma consulta SQL no arquivo rsvpmaker-util.php. Isso permite que invasores não autenticados roubem informações confidenciais do banco de dados.
Recomendações
Para versões até e incluindo a 9.2.5, atualize para uma versão que inclua o escapamento e a parametrização de SQL necessários para prevenir ataques de injeção de SQL.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Rsvpmaker