PT-2024-17204 · WordPress · Wp Job Portal
Thevietronin
·
Publicado
2024-12-14
·
Atualizado
2025-02-06
·
CVE-2024-11714
CVSS v3.1
4.9
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do plugin WP Job Portal anteriores à 2.2.3
Descrição
O plugin WP Job Portal para WordPress está vulnerável a injeção de SQL por meio do parâmetro
ff da função getFieldsForVisibleCombobox(), devido à escapada insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que invasores autenticados, com acesso de nível de administrador ou superior, acrescentem consultas SQL adicionais às consultas já existentes, que podem ser usadas para extrair informações confidenciais do banco de dados.Recomendações
Para versões anteriores à 2.2.3, atualize para a versão mais recente para mitigar os riscos. Como solução temporária, considere restringir o acesso à função
getFieldsForVisibleCombobox() até que um patch esteja disponível. Evite usar o parâmetro ff na função afetada até que o problema seja resolvido.Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wp Job Portal