PT-2022-7050 · WordPress · Paid Memberships Pro
Publicado
2022-12-27
·
Atualizado
2023-04-03
·
CVE-2023-23488
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões anteriores à 2.9.8 do plugin Paid Memberships Pro para WordPress
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de SQL não autenticada. Essa vulnerabilidade está localizada no parâmetro
code da rota REST “/pmpro/v1/order”. Ela pode permitir que um invasor remoto execute consultas SQL arbitrárias devido à falta de medidas de proteção para a estrutura da consulta SQL.Recomendações
Para versões anteriores à 2.9.8, atualize para a versão 2.9.8 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso à rota REST “/pmpro/v1/order” ou evitar o uso do parâmetro
code neste endpoint até que um patch seja aplicado.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Paid Memberships Pro