CVE-2024-1776

Plugin Contact Form 7 para versões do WordPress até a 1.1.1, inclusive

O armazenamento de dados do painel de administração do plugin Contact Form 7 está vulnerável a injeção de SQL por meio do parâmetro form-id, devido à falta de escapamento adequado no parâmetro fornecido pelo usuário e à falta de preparação suficiente na consulta SQL existente. Isso permite que invasores autenticados, com acesso de nível de administrador ou superior, acrescentem consultas SQL adicionais às consultas já existentes, o que pode ser usado para extrair informações confidenciais do banco de dados.

Para o plugin Contact Form 7 para versões do WordPress até a 1.1.1, inclusive, considere atualizar para uma versão que corrija essa falha, já que não há solução alternativa específica para essas versões.

Como solução temporária, considere restringir o acesso ao parâmetro form-id no endpoint da API afetado até que um patch esteja disponível.

Evite usar o parâmetro form-id no endpoint da API afetado até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.