PT-2024-17580 · WordPress · Library Management System – Manage E-Digital Books Library
Frissi0N
·
Publicado
2024-12-12
·
Atualizado
2024-12-12
·
CVE-2024-12406
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Sistema de gerenciamento de bibliotecas – Plugin Manage e-Digital Books Library para versões do WordPress anteriores à 3.0.1
Descrição
O problema está relacionado a injeção de SQL por meio do parâmetro
owt7 borrow books id, devido à escapada insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que invasores autenticados, com acesso de nível de Assinante ou superior, acrescentem consultas SQL adicionais às consultas já existentes, que podem ser usadas para extrair informações confidenciais do banco de dados.Recomendações
Para versões anteriores à 3.0.1, atualize para a versão 3.0.1 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso ao parâmetro
owt7 borrow books id para minimizar o risco de exploração.Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Library Management System – Manage E-Digital Books Library