CVE-2024-0952

WP ERP | Solução completa de RH com recrutamento e anúncios de emprego | Plugin WooCommerce CRM & Accounting para versões do WordPress até a 1.12.9, inclusive

O problema está relacionado a uma injeção de SQL baseada em tempo através do parâmetro id, devido à escapada insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que invasores autenticados, com privilégios de gerente de contabilidade, administrador ou superiores, acrescentem consultas SQL adicionais às consultas já existentes, que podem ser usadas para extrair informações confidenciais do banco de dados.

Para versões até e incluindo a 1.12.9, atualize para uma versão superior à 1.12.9 para resolver o problema.

Como solução temporária, considere restringir o acesso ao parâmetro id nas consultas SQL afetadas até que um patch esteja disponível.