CVE-2019-25212

Plugin “video carousel slider with lightbox” para o WordPress, versões 1.0.0 a 1.0.6

O problema está relacionado a injeção de SQL por meio do parâmetro id, devido à escapada insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que invasores autenticados com acesso de nível de administrador ou superior acrescentem consultas SQL adicionais às consultas já existentes, o que pode ser usado para extrair informações confidenciais do banco de dados.

Para as versões 1.0.0 a 1.0.6, como solução temporária, considere restringir o acesso ao parâmetro id no plugin afetado até que um patch esteja disponível. Além disso, limitar o acesso de nível de administrador pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.