CVE-2023-6567

Plugin LearnPress para o WordPress até a versão 4.2.5.7, inclusive

O problema está relacionado a uma injeção de SQL baseada em tempo por meio do parâmetro order by, devido à escapada insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que invasores não autenticados acrescentem consultas SQL adicionais às consultas já existentes, o que pode ser usado para extrair informações confidenciais do banco de dados.

Para versões até e incluindo a 4.2.5.7, atualize para uma versão posterior à 4.2.5.7 para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro order by para minimizar o risco de exploração.