CVE-2024-1789

Plugin WP SMTP para o WordPress, versões 1.2 a 1.2.6

A vulnerabilidade permite que invasores autenticados com acesso de nível de administrador ou superior realizem injeção de SQL por meio do parâmetro search, devido à escapada insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que invasores acrescentem consultas SQL adicionais às consultas já existentes, potencialmente extraindo informações confidenciais do banco de dados.

Para o plugin WP SMTP para as versões 1.2 a 1.2.6 do WordPress, considere restringir o acesso ao parâmetro search para minimizar o risco de exploração até que um patch esteja disponível. Evite usar o parâmetro search nos endpoints de API afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.