PT-2024-16136 · WordPress · The Video Gallery – Best Wordpress Youtube Gallery Plugin
Tmrswrr
·
Publicado
2024-12-06
·
Atualizado
2025-07-09
·
CVE-2024-10247
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
The Video Gallery – Best WordPress YouTube Gallery Plugin, versões até a 2.4.2, inclusive
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de SQL baseada em tempo, por meio do parâmetro
orderby. Essa vulnerabilidade é causada por uma escapada insuficiente no parâmetro fornecido pelo usuário e pela falta de preparação adequada na consulta SQL existente. Como resultado, invasores autenticados com acesso de nível de administrador ou superior podem anexar consultas SQL adicionais às consultas já existentes para extrair informações confidenciais do banco de dados.Recomendações
Para versões até a 2.4.2, inclusive, atualize para uma versão superior à 2.4.2 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao parâmetro
orderby para minimizar o risco de exploração.Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
The Video Gallery – Best Wordpress Youtube Gallery Plugin