PT-2022-20734 · WordPress · Translate Multilingual Sites
Elias Hohl
·
Publicado
2022-09-19
·
Atualizado
2023-03-27
·
CVE-2022-3141
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões anteriores à 2.3.3 do plugin “Translate Multilingual Sites” para WordPress
Descrição
A vulnerabilidade permite uma injeção de SQL por usuário autenticado. Isso pode ocorrer ao adicionar um novo idioma pela página de configurações, contendo caracteres especiais específicos, que podem ultrapassar as crases na consulta SQL e permitir a injeção de uma carga cega baseada em tempo.
Recomendações
Para versões anteriores à 2.3.3, atualize para a versão 2.3.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página de configurações para minimizar o risco de exploração. Evite usar caracteres especiais ao adicionar novos idiomas até que o problema seja resolvido.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Translate Multilingual Sites