CVE-2024-0913

WP ERP | Solução completa de RH com recrutamento e anúncios de vagas | Plugin WooCommerce CRM & Accounting para versões do WordPress até a 1.12.9, inclusive

O problema está relacionado a uma vulnerabilidade de injeção de SQL baseada em tempo através do endpoint da API REST “erp/v1/accounting/v1/transactions/sales”. Essa vulnerabilidade é causada por escape insuficiente nos parâmetros status e customer id e pela falta de preparação adequada na consulta SQL existente. Como resultado, invasores autenticados com privilégios de gerente de contabilidade ou administrador e superiores podem anexar consultas SQL adicionais às consultas já existentes para extrair informações confidenciais do banco de dados.

Para versões até a 1.12.9, inclusive, considere desativar o acesso ao endpoint da API REST “erp/v1/accounting/v1/transactions/sales” até que uma correção esteja disponível. Além disso, restrinja o uso dos parâmetros status e customer id neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.