PT-2024-17012 · WordPress · Verowa Connect
Colin Xu
·
Publicado
2024-12-06
·
Atualizado
2024-12-11
·
CVE-2024-11460
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Verowa Connect para o WordPress, versões até a 3.0.1, inclusive
Descrição
A vulnerabilidade permite que invasores não autenticados realizem injeção de SQL por meio do parâmetro
search string, devido à escapada insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso possibilita a inserção de consultas SQL adicionais em consultas já existentes, que podem ser usadas para extrair informações confidenciais do banco de dados.Recomendações
Para versões até a 3.0.1, inclusive, considere desativar o parâmetro
search string até que um patch esteja disponível para prevenir ataques de injeção de SQL. Restrinja o acesso a informações confidenciais do banco de dados para minimizar o risco de exploração. Como solução temporária, garanta o escape e a validação adequados dos parâmetros fornecidos pelo usuário nas consultas SQL. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Verowa Connect