CVE-2022-2717

JoomSport – plugin para WordPress “for Sports: Team & League, Football, Hockey & more” para versões até a 5.2.5, inclusive

O problema está relacionado a injeção de SQL por meio do parâmetro orderby na página “joomsport-events-form”. Essa vulnerabilidade é causada por escapamento insuficiente no parâmetro fornecido pelo usuário e pela falta de preparação adequada na consulta SQL existente. Como resultado, invasores autenticados com privilégios administrativos podem anexar consultas SQL adicionais às consultas já existentes, o que pode ser usado para extrair informações confidenciais do banco de dados.

Para versões até e incluindo a 5.2.5, considere desativar o parâmetro orderby na página “joomsport-events-form” como uma solução temporária até que um patch esteja disponível. Restrinja o acesso à página “joomsport-events-form” para minimizar o risco de exploração. Evite usar o parâmetro orderby na página afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.