CVE-2024-1173

WP ERP | Solução completa de RH com recrutamento e anúncios de emprego | Plugin WooCommerce CRM & Accounting para versões do WordPress até a 1.13.1, inclusive

O problema está relacionado a uma injeção de SQL baseada em tempo através do parâmetro id, devido à escapada insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que invasores autenticados, com acesso de gerente de contabilidade ou administrador, acrescentem consultas SQL adicionais às consultas já existentes, que podem ser usadas para extrair informações confidenciais do banco de dados.

Para versões até e incluindo a 1.13.1, atualize para uma versão superior à 1.13.1 para resolver o problema.

Como solução temporária, considere restringir o acesso ao parâmetro id na consulta SQL afetada até que um patch esteja disponível.

Restrinja o acesso aos recursos administrativos do plugin para minimizar o risco de exploração.