CVE-2023-5663

O plugin News Announcement Scroll para WordPress, versão 9.0.0 e anteriores

O problema decorre da falta de escapamento adequado no parâmetro fornecido pelo usuário e da falta de preparação suficiente na consulta SQL existente no shortcode do plugin, possibilitando que invasores autenticados com permissões de nível de colaborador ou superiores acrescentem consultas SQL adicionais às consultas já existentes. Isso pode ser usado para extrair informações confidenciais do banco de dados.

Para versões até e incluindo a 9.0.0, atualize para uma versão que corrija a vulnerabilidade de injeção de SQL.

Como solução temporária, considere restringir o acesso ao shortcode do plugin para minimizar o risco de exploração.

Evite usar o shortcode vulnerável até que o problema seja resolvido.