PT-2024-18311 · WordPress · Aweber – Free Sign Up Form/Landing Page Builder Plugin For Lead Generation/Email Newsletter Growth
Akshay Kumar
+1
·
Publicado
2024-03-13
·
Atualizado
2024-03-13
·
CVE-2024-1793
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
AWeber – Plugin gratuito de formulário de inscrição e criador de páginas de destino para geração de leads e aumento de assinantes de boletins informativos por e-mail para versões do WordPress até a 7.3.14, inclusive
Descrição
A vulnerabilidade permite que invasores autenticados com acesso de nível de administrador ou superior realizem injeção de SQL por meio do parâmetro
post id, devido à escapada insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que invasores acrescentem consultas SQL adicionais às consultas já existentes, potencialmente extraindo informações confidenciais do banco de dados.Recomendações
Para versões até e incluindo a 7.3.14, atualize para uma versão superior à 7.3.14 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao parâmetro
post id no plugin afetado para minimizar o risco de exploração.Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Aweber – Free Sign Up Form/Landing Page Builder Plugin For Lead Generation/Email Newsletter Growth