CVE-2023-6967

O plugin “The Pods – Custom Content Types and Fields” para versões do WordPress anteriores à 3.0.11, excluindo as versões 2.7.31.2, 2.8.23.2 e 2.9.19.2

O problema decorre da falta de escapamento adequado no parâmetro fornecido pelo usuário e da preparação insuficiente da consulta SQL existente, permitindo que invasores autenticados com acesso de nível de colaborador ou superior acrescentem consultas SQL adicionais às consultas já existentes. Isso pode ser usado para extrair informações confidenciais do banco de dados.

Para versões anteriores à 3.0.11, excluindo as versões 2.7.31.2, 2.8.23.2 e 2.9.19.2, atualize para uma versão superior à 3.0.10 para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso ao recurso de shortcode para minimizar o risco de exploração.

Restrinja o acesso ao nível de colaborador ou superior para impedir que invasores autenticados anexem consultas SQL adicionais.